آژانس هواپیماییexchanging

htmlspecialchars و حرف ی

شروع موضوع توسط hamidebadi ‏5 نوامبر 2005 در انجمن PHP

  1. hamidebadi

    hamidebadi کاربر تازه وارد

    تاریخ عضویت:
    ‏28 اکتبر 2005
    نوشته ها:
    15
    تشکر شده:
    0
    من برای اینکه کسی نتونه XSS کنه تو برنامه ای که نوشتم از تابع htmlspecialchars استفاده می کنم اما این تابع حرف -------------ی----------- رو به این کد تبدیل می کنه
    ی ----- < & # 1740 ;
    که خیلی ضایع می کنه سایت رو .
    الان طوریه که حتما باید XSS رو جلوشو بگیرم هم فارسی باشه اگه تابع دیگه به من معرفی کنید یا راه حل این رو بگید ممنون می شم من در php تازه کارم
    یه جوری راهنمایی کنید که کمترین تلفات رو داشته باش :blush: ه و مجبور نشم کل برنامه رو از نو بنویسم :wacko:
    ممنون

    هر چی سریعتر بهتر :)

    برنامه ام اینجوری کار میکنه :
    متن فارسی میگیره mysql_real_escape_string می کنه میفرسته به اس کیو ال
    بعد متن رو از اسکیو ال میگیره htmlspecialchars می کنه نمایش میده

    من حتی تست کردم که موقع ورود اطلاعات هم mysql_real_escape_string هم htmlspecialchars اجرا بشن
    و بفرسته تو اسکیو ال باز هم درست نشد

    موقعی درست میشه که فیلتر htmlspecialchars رو بردارم که اونم از نظر امنیتی درست نیست :wacko:
     
  2. Parsa_361

    Parsa_361 کاربر فعال صفحات داینامیک کاربر فعال

    تاریخ عضویت:
    ‏5 آگوست 2005
    نوشته ها:
    889
    تشکر شده:
    10
    محل سکونت:
    Isfahan, php.ini
    خوب تبدیل کنه !
    این که اشکالی نداره !
    وقتی تو HTML قرار میگیره دوباره تبدیل به همون حرف --- ی --- می شه
    مگه اینجوری نیست ؟!
     
  3. hamidebadi

    hamidebadi کاربر تازه وارد

    تاریخ عضویت:
    ‏28 اکتبر 2005
    نوشته ها:
    15
    تشکر شده:
    0
    مشکل اینجاست که رو صفحه نمایش این مزخرفات رو نشون میده


    خوب کار تابع همینه که تبدیل کنه ولی مثل اینکه این کار رو 2 بار انجام میده ولی هنوز نمی دونم چرا ؟ من که دوبار تابع رو نخواستم :( و چرا فقط روی حرف ---ی ----
     
  4. sama_sally

    sama_sally Registered User

    تاریخ عضویت:
    ‏5 آپریل 2005
    نوشته ها:
    2,598
    تشکر شده:
    1
    محل سکونت:
    Essen, Deutschland
    خوب اون فیلتری که برای sql گذاشتی هم مثل htmlspecialchars عمل میکنه واسه همین دو تا میشه؛
    اون فیلتر sql رو اجرا نکن
     
  5. hba

    hba کاربر فعال صفحات داینامیک کاربر فعال

    تاریخ عضویت:
    ‏8 آگوست 2004
    نوشته ها:
    1,511
    تشکر شده:
    1
    محل سکونت:
    تهران-ونک-php-mysql
    اول بگو صفحه ات utf-8 هست یا windows arabic
    بعد از دکمه shift+x برای تایپ ی استفاده کن ببین درست می شه یا نه؟
     
  6. Shahed

    Shahed کاربر قدیمی پرشین تولز

    تاریخ عضویت:
    ‏30 ژوئن 2003
    نوشته ها:
    7,175
    تشکر شده:
    31
    محل سکونت:
    mt.cgi
    اين xss و htmlspecialchars چي چين؟
     
  7. appbannerkhuniresbanner
  8. sama_sally

    sama_sally Registered User

    تاریخ عضویت:
    ‏5 آپریل 2005
    نوشته ها:
    2,598
    تشکر شده:
    1
    محل سکونت:
    Essen, Deutschland
    شاهد قبلنا ازین سوالا نمیکردی!
    خب iQ تابع htmlspecialchars باعث میشه تا کارکترهایی مثل > با < که باعث میشن توی صفحه html اجرا بشه به معادلهای html character شون تبدیل بشن: ;gt& و ;lt& (برای مثال)
     
  9. hba

    hba کاربر فعال صفحات داینامیک کاربر فعال

    تاریخ عضویت:
    ‏8 آگوست 2004
    نوشته ها:
    1,511
    تشکر شده:
    1
    محل سکونت:
    تهران-ونک-php-mysql
    xss همون cross site script هست که برای ایجاد اختلال و بیشتر دو در کوکی برا هکر ها استفاده می شه
    و یکم کاربرد دیگه
    همین
     
  10. Shahed

    Shahed کاربر قدیمی پرشین تولز

    تاریخ عضویت:
    ‏30 ژوئن 2003
    نوشته ها:
    7,175
    تشکر شده:
    31
    محل سکونت:
    mt.cgi
    نه باهوش !
    خوب من بلدم ! تو بلدي !
    همه که از اينجا رد ميشن بلد نيستن ! الان اين باعث ميشه يکي يه چي ياد بيگيره ! [​IMG]
     
  11. sama_sally

    sama_sally Registered User

    تاریخ عضویت:
    ‏5 آپریل 2005
    نوشته ها:
    2,598
    تشکر شده:
    1
    محل سکونت:
    Essen, Deutschland
    بابا ایول انسان دوستی :D :D
     
  12. hamidebadi

    hamidebadi کاربر تازه وارد

    تاریخ عضویت:
    ‏28 اکتبر 2005
    نوشته ها:
    15
    تشکر شده:
    0
    شوخی نکن بابا می زنن sql injection می کنن دهن برنامه ....
    من تست می کنم مشکلی داشتم می ÷رسم ;)
     
  13. sama_sally

    sama_sally Registered User

    تاریخ عضویت:
    ‏5 آپریل 2005
    نوشته ها:
    2,598
    تشکر شده:
    1
    محل سکونت:
    Essen, Deutschland
    خوب وقتی میفرستی به sql فیلتر بذار دیگه بعدا چرا میذاری؟
     
  14. avajang.com .leftavajang.com.right
  15. hamidebadi

    hamidebadi کاربر تازه وارد

    تاریخ عضویت:
    ‏28 اکتبر 2005
    نوشته ها:
    15
    تشکر شده:
    0
    مشکل همچنان هست :
    شاید من بد گفتم
    من یک صفحه ورود اطلاعات کاربری دارم یه صفحه دیدن اطلاعات کاربری (اینو همه می بینن )
    -------------------------------
    روش اول که تست کردم :
    ---------------------------
    حالا کاربر میاد اطلاعاتشو وارد میکنه --من htmlspecialchars میکنم mysql_real_escape_string هم می کنم
    با خیال راحت می فرستم دیتابیس --اطلاعات هم با خیال راحت می خونم و چا÷ میکنم
    -------------------------------
    روش دومی که تست کردم :
    -------------------------------
    بیا اطلاعات رو بگیر فقط ysql_real_escape_string کن بفرست mysql وقتی می خواها بخونی htmlspecialchars کن


    هیچ کدوم رو حرف ---ی--- جواب نمیده اگه htmlspecialchars رو بردارم فقط درست میشه (که چو کوکی بیس شناسایی می کنم خطریه )

    الان من به فکر این افتادم که یه تابع ضد XSS بنویسم که script iframe و... رو حذف کنه و....
    که اطلاعاتم زیاد نیست و دارم مطلب میخونم تا بتونم یه تابع صحیح بنویسم (اگه تابع ساخته شده سراغ دارین بگین )
     
  16. hba

    hba کاربر فعال صفحات داینامیک کاربر فعال

    تاریخ عضویت:
    ‏8 آگوست 2004
    نوشته ها:
    1,511
    تشکر شده:
    1
    محل سکونت:
    تهران-ونک-php-mysql
    بابا اصلا این کار رو نکن فقط htmlspecialchars بزار همه مورد هم xss هم sql رو جلوشو می گیره دیگه
     
  17. Parsa_361

    Parsa_361 کاربر فعال صفحات داینامیک کاربر فعال

    تاریخ عضویت:
    ‏5 آگوست 2005
    نوشته ها:
    889
    تشکر شده:
    10
    محل سکونت:
    Isfahan, php.ini
    آقا من یه راه حلی دارم :D :

    هر چی چاپ می شه رو بریزیم تو یه بافر
    و بعد یه تابع ساده به وسیله str_replace درست کنیم که هر چی & # 1740 ; میبینه تبدیل به --- ی --- کنه
    و بعد اونو تو بافر اجرا کنیم

    خوبه ؟

    سالار قبلاً یکی مثل این رو ساخته بود
     
  18. sama_sally

    sama_sally Registered User

    تاریخ عضویت:
    ‏5 آپریل 2005
    نوشته ها:
    2,598
    تشکر شده:
    1
    محل سکونت:
    Essen, Deutschland
    تایید میشه!!!!!!!!!!!
     
  19. hamidebadi

    hamidebadi کاربر تازه وارد

    تاریخ عضویت:
    ‏28 اکتبر 2005
    نوشته ها:
    15
    تشکر شده:
    0
    سالار لو رفتی :D این حرف --ی --- کوفتی من رو درست کن :wacko:
    من هم بدجوری قاطی کردم تو این چند روز

    حالا من این سالار (موجود ) رو از کجا ÷یدا کنم
     
  20. Parsa_361

    Parsa_361 کاربر فعال صفحات داینامیک کاربر فعال

    تاریخ عضویت:
    ‏5 آگوست 2005
    نوشته ها:
    889
    تشکر شده:
    10
    محل سکونت:
    Isfahan, php.ini
    :lol: :lol: :lol: :lol: :lol:
    بالا سرته !!!!!! :lol: :lol:
     
  21. hamidebadi

    hamidebadi کاربر تازه وارد

    تاریخ عضویت:
    ‏28 اکتبر 2005
    نوشته ها:
    15
    تشکر شده:
    0
    خاک و چوک :wacko: :blink: من از --موجود --منظوری نداشتما :blush:
    :wacko: ;)
    خودم یه زوری می زنم شما هم لینک برنامه رو بذار دمت گرم
     
  22. Parsa_361

    Parsa_361 کاربر فعال صفحات داینامیک کاربر فعال

    تاریخ عضویت:
    ‏5 آگوست 2005
    نوشته ها:
    889
    تشکر شده:
    10
    محل سکونت:
    Isfahan, php.ini
    تو همین فارومه

    بگردی پیدا میشه