Регистрация
Регистрируясь, вы подтверждаете свое согласие с соглашением об использовании персональных данных.
Восстановление пароля
05.04.2018, 13:39
ApachE
Бабаков Борис Владимирович

Зарегистрирован:
2009-12-07
Сообщений: 17

Добрый день! Столкнулся с проблемой что при добавлении отзыва на http://stour-kmv.ru/sanatorii-kislovodska/sanatoriy-moskva/test/test.html человеку ничто не мешает вставить код вида <script>....</script> и он успешно отрабатывается. Как залатать эту дыру в безопасности?
Редакция Extra 5.4 Компонент "Гостевая книга / FAQ"

ApachE
08.04.2018, 00:06
VenZell
Карагодников Алексей Николаевич
VenZell

Зарегистрирован:
2014-07-25
Сообщений: 45

Здравствуйте.

Экранируйте вывод переменных.
Например, вместо:
Код:
<?= $f_Name; ?>

Пишите:
Код:
<?= htmlspecialchars($f_Name, ENT_QUOTES, 'UTF-8'); ?>
30.10.2018, 11:28
Юрий
Студия Вэлпис

Зарегистрирован:
2018-10-30
Сообщений: 18

В зависимости где используются данные
нужно их экранировать

// $string - строка
// возвращает исходную строку в которой двойная кавычка заменена на HTML мнемонику
function magic_quotes_gpc($string)
{
$string = str_replace('"', '& quot;', $string);
$string = str_replace('<', '& lt;', $string);
$string = str_replace('>', '& gt;', $string);
$string = str_replace('}', '& #125;', $string);
$string = str_replace('{', '& #123;', $string);
return $string;
}


Между, есть пробел - если использовать убрать
& q
198 196 2018-10-30 11:28:39 14941
Описание проекта