[Закрыть]
 
popoff.donetsk.ua
Жизнь слишком коротка, чтобы заниматься тем, что не нравится.
Начало | Новости | Статьи | Форум | Опросы | Карта сайта | Обо мне
popoff.donetsk.ua - Форум - Обсуждение - CGI-приложения на PHP с методами предотвращения атак XSS-нападения

CGI-приложения на PHP с методами предотвращения атак XSS-нападения

форумы popoff.donetsk.ua
Страницы: [1]
<< Новый  |  Старый >>  |  Ответ не возможен

Внимание! Этот топик устарел. Пожалуйста, создайте новый топик, чтобы задать интересующий Вас вопрос.

Автор Сообщение
Гость Панаётов Юрий url://forum.message:2805
CGI-приложения на PHP с методами предотвращения атак XSS-нападения
Панаётов Юрий

Здравствуйте, беспокоит Вас студент группы ПС-08оз Панаётов Юрий. У меня возникли вопросы в процессе выполнения лабораторной работы №2, посвященной CGI-приложениям на PHP с методами предотвращения атак XSS-нападения.
1. На паре я сделал свой вариант преобразование кодировки текста из cp855 в альтернативную (cp866), через Ваш сервер (http://student.1024.info/panayotov/encoding_koi_win.html) данное приложение работает нормально, но когда я пробую запустить его через свой apache, выдается просто код на странице ( =128) $s[$i]=chr($kw[$c-128]); } return $s; } и т.д.), я помню, такая же ситуация была и с Вашим сервером, но потом Вы добавили какую-то возможность в свой сервер и все заработало. Подскажите, что мне нужно сделать, чтобы я мог запускать данное приложение у себя.
2. Что касается предотвращения XSS-нападения, то, на сколько я понял, это фильтрация введенной информации в поле для ввода текста. Посмотрел по примерам варианты XSS-нападений, попробовал в поле для ввода текста ввести:

<script>

alert("Self-contained XSS");

</script>

. По идее, это должно было вывести сообщение(я так понимаю, смысл XSS-нападения, это вставка вместо текста - код, который после обновления страницы должен ее портить...), но сообщение не выводилось, вместо этого текст менялся на:

<script>

alert(\"Self-contained XSS\");

</script>

. Т.е. добавлялись \, и из-за этого код превращался в обычный текст. Подскажите, пожалуйста, что я делаю не так или хотя бы напишите строчку кода, которая навредит моей странице.

popoff
Yuri
Июл, 2004
Сообщений: 931
popoff url://forum.message:2807

1. Создайте рядом с Вашим *.php файлом файл .htaccess с таким содержимым:
AddHandler application/x-httpd-php .html

2. Нужно сделать так, чтобы можно было вводить кавычки и чтобы лишних слешей не возникало. Посли этого боритесь с XSS.

________________________________
Если не будет деревьев — нам нечем будет дышать, если вода загрязнится — нам нечего будет пить.
Гость Панаётов Юрий url://forum.message:2808
Панаётов Юрий

С XSS-нападениями вроде разобрался, но все равно вопросы остались. Что касается запуска приложения на моей связке Apache+PHP+MySQL, то по вашему совету создал файл .htaccess с содержимым AddHandler application/x-httpd-php .html, но картины это не поменяло. Потом попробовал строку AddHandler application/x-httpd-php .html добавить в файл httpd.conf (настройки Apache). После перезапуска сервера форма отображается, но возникает другая проблема. В поле ввода текста отображается строка <?= $data['s'] ?>, при нажатии на кнопку, ничего не происходит. Я так понимаю, что данная строка не распознается как переменная, а распознается как текст. Попробовал сделать так <?php= $data['s'] ?>, и так <%= $data['s'] %>, но это не помогло. Наверное, что-то с настройкой php. Подскажите, пожалуйста, как с этой проблемой справиться.

Это сообщение было отредактировано popoff 21.05.09 14:01.
popoff
Yuri
Июл, 2004
Сообщений: 931
popoff url://forum.message:2809

<?php echo $data['s']; ?>

________________________________
Если не будет деревьев — нам нечем будет дышать, если вода загрязнится — нам нечего будет пить.
Гость Панаетов Юрий url://forum.message:2810
Панаетов Юрий

После подстановки данного кода страница просто не подгружается, т.е. не отображается ничего, и в Opera не активна кнопка «остановить» и кнопка «обновить».

popoff
Yuri
Июл, 2004
Сообщений: 931
popoff url://forum.message:2811

Панаетов Юрий,
смотрите исходный код страницы, сгенерированный РНР
включите вывод сообщений об ошибках в браузер
включите запись сообщений об ошибках в файл и посмотрите, что записывается в файл
добавьте вывод отладочных сообщений в браузер и запись таких сообщений в файл
закомментриуйте часть кода и найдите тот маленький кусочек, из-за которого всё не работает

________________________________
Если не будет деревьев — нам нечем будет дышать, если вода загрязнится — нам нечего будет пить.

Внимание! Этот топик устарел. Пожалуйста, создайте новый топик, чтобы задать интересующий Вас вопрос.

Страницы: [1]
<< Новый  |  Старый >>  |  Ответ не возможен
Вход
Поиск[?]:
Гинеколог, стоматолог, психотерапевт в Донецке