сообщение не выводится(echo)

[SkyM@n]

Цитата:

Сообщение от ~Last_^_Soul~

тада в скрипт добавляем пару функций:
echo htmlspecialchars(stripslashes($_GET['txt']));

Неправильно опять. Не вводите людей в заблуждение.
Достаточно включить magic quotes. Вы решили по всем старым темам пройтись?

[~Last_^_Soul~]

Цитата:

Сообщение от SkyM@n

Вы решили по всем старым темам пройтись?

не такая уже эта тема и старая..

Цитата:

Сообщение от SkyM@n

Достаточно включить magic quotes.

magic_quotes от XSS не спасет

[SkyM@n]

Цитата:

Сообщение от ~Last_^_Soul~

не такая уже эта тема и старая..

magic_quotes от XSS не спасет

В том, случае, что я привел - спасет
ЗЫ. Тем не менее, старайтесь не оплакивать закопанные темы

[Никки]

или можно так:

Код:

if (!eregi('http',$_GET['txt'])){

} else {
   echo "AntiHack";
}

[~Last_^_Soul~]

Цитата:

Сообщение от SkyM@n

В том, случае, что я привел - спасет

уберем пару кавычек и усе... XSS...
если думать о безопасности, то лучше думаю защищать от всех случаях которые знаешь, а не от одной кавычки

Цитата:

Сообщение от SkyM@n

ЗЫ. Тем не менее, старайтесь не оплакивать закопанные темы

четыре дня и уже закопали - эххх....

[~Last_^_Soul~]

Цитата:

Сообщение от Никки

или можно так:

Код:

if (!eregi('http',$_GET['txt'])){

} else {
   echo "AntiHack";
}

одна эта проверка тоже может не помочь в некоторых случаях - тут работа идет с кодировками, пример сейчас привести не могу (не помню)... но XSS можно тоже сделать...

зы: вообщем для безопасности нужно в основном проверять на наличие символо "<>" - это XSS, и кавычек - это уже ближе к SQL-иньекции

[SkyM@n]

Неверно. Надо проверять подстановкой целых тегов, используя регулярные выражения.

[~Last_^_Soul~]

Цитата:

Сообщение от SkyM@n

Неверно. Надо проверять подстановкой целых тегов, используя регулярные выражения.

помоему подобный код будет быстрее работать:

PHP код:

$txt = $_GET['txt'];
$txt = str_replace('<', '&lt;', $txt);
$txt = str_replace('>', '&gt;', $txt); 


зы: зачем лишний раз регулярные выражения употреблять? а тем более на проверку каждого тега.

Пользуйтесь тегами форматирования кода! [РНР]...[/РНР]. Модератор

[SkyM@n]

~Last_^_Soul~, не вводите людей в заблужение.

Как мне обрабатывать при вашем подходе такие ссылки:

http://site.com?side=>no_side<
И во-вторых, перед переходом по подобной ссылке, знаки < и > могут автоконвертироваться броузером в их шестнадцатеричные эквиваленты.
Регулярные выражения во всех вариантах в работе с безопасность рекомендуется использовать. И этой рекомендации таки следуют многие опытные вебдевы.
Учите матчасть!

PHP код:

if (!eregi('http',$_GET['txt'])){ 
 
} else { 
   echo "AntiHack"; 
} 


А вот тут как раз не нужно регулярки использовать. Их нужно применять там, где штатніми средствами РНР - не обойтись.
Да и код этот не пригодится.

[~Last_^_Soul~]

Цитата:

Сообщение от SkyM@n

Как мне обрабатывать при вашем подходе такие ссылки:

http://site.com?side=>no_side<

не нужно создавать такие переменные! извращения нам не нужны
имхо делать типа такого:
http://site.com?side=1&id=2
а принимать эти переменные так: $side = (int)$_GET['side'];

а если выводим ченить на монитор, то юзаем htmlspecialchars() или еще можно htmlentities()