|
Страницы: [1] | << Новый | Старый >> | Ответ не возможен |
Внимание! Этот топик устарел. Пожалуйста, создайте новый топик, чтобы задать интересующий Вас вопрос.
Автор | Сообщение |
Гость | Панаётов Юрий url://forum.message:2805 CGI-приложения на PHP с методами предотвращения атак XSS-нападения Панаётов Юрий Здравствуйте, беспокоит Вас студент группы ПС-08оз Панаётов Юрий. У меня возникли вопросы в процессе выполнения лабораторной работы №2, посвященной CGI-приложениям на PHP с методами предотвращения атак XSS-нападения. alert("Self-contained XSS"); </script>”. По идее, это должно было вывести сообщение(я так понимаю, смысл XSS-нападения, это вставка вместо текста - код, который после обновления страницы должен ее портить...), но сообщение не выводилось, вместо этого текст менялся на: “ <script>alert(\"Self-contained XSS\"); </script>”. Т.е. добавлялись “\”, и из-за этого код превращался в обычный текст. Подскажите, пожалуйста, что я делаю не так или хотя бы напишите строчку кода, которая навредит моей странице. |
19.05.09 11:47 | URL сообщения |
popoff Yuri ![]() Июл, 2004 Сообщений: 923 | popoff url://forum.message:2807 1. Создайте рядом с Вашим *.php файлом файл .htaccess с таким содержимым: 2. Нужно сделать так, чтобы можно было вводить кавычки и чтобы лишних слешей не возникало. Посли этого боритесь с XSS. ________________________________ Если не будет деревьев — нам нечем будет дышать, если вода загрязнится — нам нечего будет пить. |
20.05.09 14:22 | URL сообщения | Приват | Инфо об авторе |
Гость | Панаётов Юрий url://forum.message:2808 Панаётов Юрий С XSS-нападениями вроде разобрался, но все равно вопросы остались. Что касается запуска приложения на моей связке Apache+PHP+MySQL, то по вашему совету создал файл .htaccess с содержимым “AddHandler application/x-httpd-php .html”, но картины это не поменяло. Потом попробовал строку “AddHandler application/x-httpd-php .html” добавить в файл httpd.conf (настройки Apache). После перезапуска сервера форма отображается, но возникает другая проблема. В поле ввода текста отображается строка “<?= $data['s'] ?>”, при нажатии на кнопку, ничего не происходит. Я так понимаю, что данная строка не распознается как переменная, а распознается как текст. Попробовал сделать так “<?php= $data['s'] ?>”, и так “<%= $data['s'] %>”, но это не помогло. Наверное, что-то с настройкой php. Подскажите, пожалуйста, как с этой проблемой справиться. Это сообщение было отредактировано popoff 21.05.09 14:01. |
21.05.09 13:52 | URL сообщения | Журнал |
popoff Yuri ![]() Июл, 2004 Сообщений: 923 | popoff url://forum.message:2809
________________________________ Если не будет деревьев — нам нечем будет дышать, если вода загрязнится — нам нечего будет пить. |
21.05.09 14:02 | URL сообщения | Приват | Инфо об авторе |
Гость | Панаетов Юрий url://forum.message:2810 Панаетов Юрий После подстановки данного кода страница просто не подгружается, т.е. не отображается ничего, и в Opera не активна кнопка «остановить» и кнопка «обновить». |
22.05.09 08:52 | URL сообщения |
popoff Yuri ![]() Июл, 2004 Сообщений: 923 | popoff url://forum.message:2811 Панаетов Юрий, ________________________________ Если не будет деревьев — нам нечем будет дышать, если вода загрязнится — нам нечего будет пить. |
22.05.09 14:23 | URL сообщения | Приват | Инфо об авторе |
Внимание! Этот топик устарел. Пожалуйста, создайте новый топик, чтобы задать интересующий Вас вопрос.
Страницы: [1] | << Новый | Старый >> | Ответ не возможен |
Вход |
Цитирование материалов моего сайта приветствуется! при условии видимой действующей! гиперссылки на мой сайт. [Ссылки] Если Вы нашли опечатку на этой странице, пожалуйста, выделите ее мышью и нажмите Ctrl+Enter. Сделаем язык чище! (c) Yuri Popoff, 2004 - 2008, popoff.donetsk.ua, style.donetsk.ua |
|