19.10.2009, 06:55
|
|
Постоянный
Регистрация: 07.03.2008
Сообщений: 479
Провел на форуме:
791766
Репутация:
61
|
|
Сообщение от Ctacok
или magic_quotes = On 
htmlspecialchars нетак экранирует.
htmlspecialchars в XSS хорошо, он просто "нехорошие" символы в HTML понятные переводит.
Вот к примеру скрипт:
PHP код:
<?PHP
$text = htmlspecialchars($_GET['c']);
echo $text;
?>
Задал в ?c=<script>alert();</script>
Вывелось <script>alert();</script>
Но не выполнилось, потому что htmlspecialchars, экранировал всё это в , а браузер понимает это всё, и переводит в <script>alert();</script>
Так что " он переводит в "
htmlspecialchars()
Так что он к ' неподстовляет слэш.
Так что или magic_quotes on либо
mysql_real_escape_string Если бы он так экронировал то в HTML было бы "...
Вот кусок кода который выводится в HTML
PHP код:
<td><? phpinfo(); ?></td>
Я не вижу чтоб тут htmlspecialchars() поработало
|
|
|