DCMS | Закрыть XSS
Магоичи Сайка
ALeeXSD, echo '<a' . ($set['web'] ? ' target="_blank"' : null) . ' href="http://' . htmlspecialchars($_SERVER['SERVER_NAME']) . '/go.php?go=' . $post['id'] . '">';
Так
On_Off Так
ic[ON] (19.01.2018 в 16:31)
ALeeXSD, echo '<a' . ($set['web'] ? ' target="_blank"' : null) . ' href="http://' . htmlspecialchars($_SERVER['SERVER_NAME']) . '/go.php?go=' . $post['id'] . '">';
Так
ALeeXSD, echo '<a' . ($set['web'] ? ' target="_blank"' : null) . ' href="http://' . htmlspecialchars($_SERVER['SERVER_NAME']) . '/go.php?go=' . $post['id'] . '">';
Так
да. остальные переменные у них фильтрация есть?
С каких пор суперглобальную переменную $_SERVER надо фильтровать? Что за дебилизм? Записи в этом массиве создаются веб-сервером.
Я понимаю ещё http_user_agent фильтрануть, но server_name?
________
посл. ред. 19.01.2018 в 16:47; всего 1 раз(а); by Jez
________
посл. ред. 19.01.2018 в 16:47; всего 1 раз(а); by Jez
RezzidenT <?php
echo '<a' . ($set['web'] ? ' target="_blank"' : null) . ' href="http://' . $_SERVER['SERVER_NAME'] . '/go.php?go=' . intval($post['id']) . '">';
?>
либо я дцрак , либо тф , но сервер_ныйм не надо фильтрить
EagleX
http_host вроде как теоретически лучше фильтровать, но я не уверен, что это ещё не закрыли.
Стр.: 1, 2