Гуестбук от меня

Guestbook by scrat
Вот тока что написал.Прошу оценить/дать советы по:
1.Анти- sql-inj в add.php
2.Анти-xss в view.php
скачать
Всё что нужно для установки в config.php
пс в img.php будет генерация каринок для антифлуда

 

Так в принципе не плохо, SQL-inj нету, а чтобы небыло XSS проверяй на валидность все данные перед добавлением в базу =)

 

Мдя.

1. инсталляшку вручную писать? можно было бы хотя бы скуль-запросы вынести в отдельный файл.
2. мде, strpos'ом умно делать анти-xss и антискуль
xss: striptags(); htmlspecialchars(); htmlentities();
sql: mysql_escape_string(); mysql_real_escape_string;

3. фильтровать твоим способом нужно не только "`", но и другие кавычки.
4. аналогично c XSS, если ты полагаешь, что все XSSки содержат <.script>, ты глубоко заблуждаешься.

вообще продукты нужно писать с учетом конфигурации сервера, для начала, с учетом результата get_magic_quotes_gpc

резюме: бажный недопроект. не в обиду, но над ним еще работать и работать...

ты меня с кем-то путаешь определенно. Nitrex из ру-24, между прочим, совершенно другой чел.

"апсирания" я не вижу, но выкладывать небезопасные скрипты на форуме по безопасности не совсем логично.

 

Помница кто-то тоже кидал какой-то свой софт и типа скуль запросы самому вводить =) не ты ли нитрех?))))))) аяяй))))
ладно-ладно хватит парня апсирать, ы и так наем, что ты мега программер =)))

 

так я и просил "обосрать"(оценить/дать советы) в первом посте

 

PHP:

    if(strpos($_POST['name'],"`")||strpos($_POST['email'],"`")||strpos($_POST['msg'],"'")) echo "<H4>ANTI HAKA-HAKA!!!</H4>";
    else
    if(mysql_query("insert into gb values(\"".$_POST['name']."\",\"".$_POST['email']."\",\"".$_POST['msg']."\");")) echo "Запись успешно добавлена!<br><a href=\"view.php\">Просмотреть записи</a>";
    


Ты используешь двойные ковычки а фильтруешь одинарные...

PHP:

if(strpos($f['name'],"<script>")||strpos($f['email'],"<script>")||strpos($f['msg'],"<script>")) echo "<H4>ANTI HAKA-HAKA!!!</H4>";
    


Для осуществления xss не обязательно открывать тег script

 

вот с нормальной фильтрацией:
http://dump.ru/files/j/j3889184444/
пс инсталлер будет вместе с img.php

 

да ничего, плохо смайлов нету=((((

 

Там опять нету фильтрации.

Надо приравнивать значение , функция возвращает значение а не изменяет его

PHP:

strip_tags($_POST['name']);


PHP:

$_POST['name'] = strip_tags($_POST['name']);


 

gemaglabin: с фильтрацие sql также?

 

не,снейк конечно сказал что я мегакодер!вот вам моя революционная антифлуд система:

как исправить?в img.php генерится картинка.сначало я просто делал include("img.php"); - результат на картинке.потом вырубил вывод картинки в самом img.php(imagejpeg()) и сделал его уже в add.php всё равно не заработало.Мб надо как-то хитро хеадеры посылать?????

 

А может быть сделаешь вместо

PHP:

include("img.php");

это

HTML:

<img src=img.php />

?

 

Логичнее было бы проверять их перед выводом

 

Выложи сюда код файла img.php, скачивать не хочется

 

PHP:

<?
 //Header("Content-type: image/jpeg");
 //ok,let's go!
 $s="krev";
 $s[1]=chr(mt_rand(48,122));
 $s[2]=chr(mt_rand(48,122));
 $s[3]=chr(mt_rand(48,122));
 $s[4]=chr(mt_rand(48,122));
 $im=imagecreate(200,100);
 $c=imagecolorallocate($im,mt_rand(150,255),mt_rand(150,255),mt_rand(150,255));
 imagestring($im,4,100,50,$s,imagecolorallocate($im,mt_rand(0,100),mt_rand(0,100),mt_rand(0,100)));
 //imagejpeg($im);
?>

 

хидеры не могут быть посланы после вывода текста в браузер.
делай в теге имг, как сказали.

 

а как я строку буду проверять???

 

заноси значение картинки в сессию.

 

а без сессий никак(а то я их страшно боюсь)?

 

чего их боятся. там проще некуда.