الموضوع: دراسة مبسطة حول ثغرات الـ XSS !
عرض مشاركة مفردة
 
  #26  
قديم 02-05-2008, 05:19 AM
الصورة الشخصية لـ alromnce
alromnce alromnce غير متصل
عضو
  
تاريخ التسجيل: May 2007
مشاركة: 39
مستوى تقييم العضوية: 0
alromnce is on a distinguished road
الافتراضي
أخوي ^*GENIUS*^

اثناء تصفحي لموقع ترايدنت وجدت أحدى الأخوه نقل موضوعه عن موقع php



الدالة عبارة عن فلترة للحقل عن javascript, html, sql injections, and RFI ..

إقتباس:

<?php
function entities($text){
$text = "";
for ( $i = 0; $i <= strlen($text) - 1; $i += 1) {
$text .= "&#" .ord($text{$i});
}
return $eresult;
}
function filter($text){
if (preg_match("#(on(.*?)\=|script|xmlns|expression|
javascript|\>|\<|http)#si","$text",$ntext)){
$re = entities($ntext[1]);
$text = str_replace($ntext[0],$re,$text);
}
$text = mysql_real_escape_string($text);
return $text;
}
foreach ($_POST as $x => $y){
$_POST[$x] = filter($y);
}
foreach ($_GET as $x => $y){
$_GET[$x] = filter($y);
}
foreach ($_COOKIE as $x => $y){
$_COOKIE[$x] = filter($y);
}
?>




ولقد وجدت كذلك أثناء تصفحي لإحدى المواقع داله مشابهه للسابقه وهي :

إقتباس:

function security_mtwer($mtwer) {
if(is_array($mtwer)) {
$mtwer = array_map('security', $mtwer);
} else {
if(!get_magic_quotes_gpc()) {
$mtwer = htmlspecialchars($mtwer, ENT_QUOTES);
$mtwer=addslashes(trim($mtwer));
} else {
$mtwer = htmlspecialchars(stripslashes($mtwer), ENT_QUOTES);
$mtwer=addslashes(trim($mtwer));
}
$mtwer = str_replace("\\", "\\\\", $mtwer);
}
return $mtwer;
}

$_POST = security_mtwer($_POST);
$_GET = security_mtwer($_GET);




أحببت ان أضيف هذه الإضافات ليتم التعليق عليها ومشاركتنا في كون اي أفضل منهن ولماذا

وأعتذر لإستاذي العزيز ^*GENIUS*^