Nawigacja

Aktualnie online

Gości online: 18

Użytkowników online: 0

Łącznie użytkowników: 25,405
Najnowszy użytkownik: kipolas

Logowanie

Zarejestruj się

Odzyskaj hasło

Shoutbox

Musisz zalogować się, aby móc dodać wiadomość.

JazOOn

25.06.2025 23:43:19

Dziadziejemy jantom...

jantom

23.06.2025 21:37:31

Z ciekawo?ci pogrzeba?em w historii i jest gorzej ni? my?la?em. Skórka Nadzieja ma ju? 17 lat.

jantom

23.06.2025 21:33:12

... troch? zasiedzia?o

jantom

23.06.2025 21:32:38

Cecha tego, jak z 20+ lat temu pisano strony - tabelki wsz?dzie, szczególnie do tworzenia uk?adów stron. PF d?ugo by? wierny tej tradycji. A obecny szablon Supportu napisa?em z 15 lat temu i chyba mu

Zbigniew@

22.06.2025 17:50:03

Dlaczego forum jest dost?pne tylko dla 10% ludzi? Poniewa? wi?kszo?? osób korzysta z internetu na urz?dzeniach mobilnych.

Archiwum shoutboksa

O nie! Ta strona potrzebuje włączonej obsługi języka JavaScript!

Twoja przeglądarka nie obsługuje tego języka lub ma wyłączoną jego obsługę. Włącz wykonywanie kodu JavaScript w swojej przeglądarce internetowej, aby skorzystać ze wszystkich funkcji strony
lub skorzystaj z programu obsługującego język JavaScript, np. Mozilla Firefox, Apple Safari, Opera, Google Chrome lub Windows Internet Explorer w wersji wyższej niż 6.

Zobacz temat

Polski Oficjalny Support PHP-Fusion » PHP-Fusion v5.00-v6.01 Support » Propozycje u?ytkowników

Dodawanie filmów przez submit.php za pomoc? kodu osad? wideo a bezpiecze?stwo
Joordan	#1 Dodany dnia 03.02.2010 19:33:45
Przedszkolak Postów: 39 Ostrzeżeń: 2 Data rejestracji: 03.01.2010 01:17	Zmodyfikowa?em plik submit.php, tak abym móg? akceptowa? wysy?ane filmy Doda??m do niej równie? funkcje "Podgl?d filmu". Filmy s? dodawane zapomoc? kodu osad? wideo np. Rozwiń Kod źródłowy HTML `<object width="640" height="344"><param name="movie" value="http://www.megavideo.com/v/PPPB9O9O1ff18cdea0c753d0ac85d3ea8866cf86"></param><param name="allowFullScreen" value="true"></param><embed src="http://www.megavideo.com/v/PPPB9O9O1ff18cdea0c753d0ac85d3ea8866cf86" type="application/x-shockwave-flash" allowfullscreen="true" width="640" height="344"></embed></object>` Kliknij i zaczekaj na załadowanie kodu ... Czy jest to bezpieczne rozwi?zanie?. Kod odpowiedzialny za podgl?d filmu GeSHi: PHP if (isset($_POST['preview_film'])) { $film_subject = stripinput($_POST['film_subject']); $film_snippet = stripinput($_POST['film_snippet']); $film_article = stripslash($_POST['film_article']); echo "<center><span class=tytul>"; echo $film_subject ; echo "</span><br><br>"; echo $film_article ; echo "<br><br></center>"; opentable(Opis); echo $film_snippet ; closetable(); tablebreak(); } if (!isset($_POST['preview_film'])) { $film_subject = ""; $film_snippet = ""; $film_article = ""; } <input type='submit' name='preview_film' value='".$locale['631']."' class='button'> Zinterpretowano w sekund: 0.034, wykorzystano GeSHi 1.0.8.10 Wiadomo?? doklejona: Chodzi o to ?e np. gdy kto? zamiast kodu filmu wpisze </td></td></td></td> to rozjedzie mi si? ca?a strona i tp. Wiadomo?? doklejona: Joordan napisa?/a: Zmodyfikowa?em plik submit.php, tak abym móg? akceptowa? wysy?ane filmy Doda??m do niej równie? funkcje "Podgl?d filmu". Filmy s? dodawane zapomoc? kodu osad? wideo np. Rozwiń Kod źródłowy HTML `<object width="640" height="344"><param name="movie" value="http://www.megavideo.com/v/PPPB9O9O1ff18cdea0c753d0ac85d3ea8866cf86"></param><param name="allowFullScreen" value="true"></param><embed src="http://www.megavideo.com/v/PPPB9O9O1ff18cdea0c753d0ac85d3ea8866cf86" type="application/x-shockwave-flash" allowfullscreen="true" width="640" height="344"></embed></object>` Kliknij i zaczekaj na załadowanie kodu ... Czy jest to bezpieczne rozwi?zanie?. Kod odpowiedzialny za podgl?d filmu GeSHi: PHP if (isset($_POST['preview_film'])) { $film_subject = stripinput($_POST['film_subject']); $film_snippet = stripinput($_POST['film_snippet']); $film_article = stripslashes($_POST['film_article']); echo "<center><span class=tytul>"; echo $film_subject ; echo "</span><br><br>"; echo $film_article ; echo "<br><br></center>"; opentable(Opis); echo $film_snippet ; closetable(); tablebreak(); } if (!isset($_POST['preview_film'])) { $film_subject = ""; $film_snippet = ""; $film_article = ""; } <input type='submit' name='preview_film' value='".$locale['631']."' class='button'> Zinterpretowano w sekund: 0.040, wykorzystano GeSHi 1.0.8.10 Wiadomo?? doklejona: Chodzi o to ?e np. gdy kto? zamiast kodu filmu wpisze </td></td></td></td> to rozjedzie mi si? ca?a strona i tp. PW od moderatora: Zmiana nazwy tematu - hoopak 03.02 - 20:57 Przeniesienie tematu - hoopak 03.02 - 20:57 Edytowane przez Joordan dnia 03.02.2010 22:34:06


W?cibski Go??	Dodany dnia 06.09.2025 23:45:02
Pan Kontekstualny Postów: n^x Data rejestracji: Zawsze
IP: localhost

Konto ukryte	#2 Dodany dnia 03.02.2010 23:25:34
Pocz?tkuj?cy Postów: 119 Ostrzeżeń: 6 Data rejestracji: 17.12.2005 10:56 ZBANOWANY: Dożywotnio	Tzn u?ytkownik podaje jako film kod <object... itp? Je?eli tak, to nie za dobre rozwi?zanie - lepiej np. bbcode zrobi? do tego i zamienia? na kod ustawiony na sztywno (ale i tak dane filtrowa?).


Joordan	#3 Dodany dnia 04.02.2010 00:31:51
Przedszkolak Postów: 39 Ostrzeżeń: 2 Data rejestracji: 03.01.2010 01:17	LukasAMD napisa?/a: Tzn u?ytkownik podaje jako film kod <object... itp? Je?eli tak, to nie za dobre rozwi?zanie - lepiej np. bbcode zrobi? do tego i zamienia? na kod ustawiony na sztywno (ale i tak dane filtrowa?). Nie chc? w ten sposób robi? bo to ma?o uniwersalne. Ale ogólnie obecne rozwi?zanie jakie niesie zagro?enia ze sob??? Chyba zrobi? formularz dodaj link do filmu np. "http://www.youtube.com/watch?v=oC4gsipGfQU" i sam b?d? dodawa? kod w postaci <object... itp


piotrek199214	#4 Dodany dnia 04.02.2010 06:42:06
Bywalec Postów: 977 Pomógł: 168 v7.01.05 Data rejestracji: 17.12.2007 21:05	Mo?na zrobi? tak: U?ytkownik b?dzie wklepywa? adres do filmiku czyli: Rozwiń Kod źródłowy `http://www.megavideo.com/v/PPPB9O9O1ff18cdea0c753d0ac85d3ea8866cf86` rozdzielczo?? a system b?dzie mia? gotowy wzór czyli: Rozwiń Kod źródłowy `<object width="zmienna_width" height="zmienna_height"><param name="movie" value="zmienna_link"></param><param name="allowFullScreen" value="true"></param><embed src="zmienna_link" type="application/x-shockwave-flash" allowfullscreen="true" width="zmienna_width" height="zmienna_height"></embed></object>` Pozdrawiam Edytowane przez Pieka dnia 07.02.2010 03:05:14 Pomog?em Ci? Wystarczy podzi?kowa? i oznaczy? post jako pomocny Tanie tworzenie wtyczek, masz problem napisz.


Joordan	#5 Dodany dnia 04.02.2010 16:07:59
Przedszkolak Postów: 39 Ostrzeżeń: 2 Data rejestracji: 03.01.2010 01:17	piotrek199214 napisa?/a: Mo?na zrobi? tak: U?ytkownik b?dzie wklepywa? adres do filmiku czyli: Rozwiń Kod źródłowy `http://www.megavideo.com/v/PPPB9O9O1ff18cdea0c753d0ac85d3ea8866cf86` rozdzielczo?? a system b?dzie mia? gotowy wzór czyli: Rozwiń Kod źródłowy `<object width="zmienna_width" height="zmienna_height"><param name="movie" value="zmienna_link"></param><param name="allowFullScreen" value="true"></param><embed src="zmienna_link" type="application/x-shockwave-flash" allowfullscreen="true" width="zmienna_width" height="zmienna_height"></embed></object>` Pozdrawiam A teraz popatrz na kod z googlevideo GeSHi: XML `<embed id=VideoPlayback src=http://video.google.pl/googleplayer.swf?docid=1811233136844420765&hl=pl&fs=true style=width:400px;height:326px allowFullScreen=true allowScriptAccess=always type=application/x-shockwave-flash> </embed> Zinterpretowano w sekund: 0.000, wykorzystano GeSHi 1.0.8.10` link z osad? wideo GeSHi: XML `http://video.google.pl/googleplayer.swf?docid=1811233136844420765&hl=pl&fs=true Zinterpretowano w sekund: 0.000, wykorzystano GeSHi 1.0.8.10` Link z paska adresu GeSHi: XML `http://video.google.pl/videoplay?docid=1811233136844420765&ei=jdtqS-39CY6M2AKov6i5CA&q=video&hl=pl# Zinterpretowano w sekund: 0.000, wykorzystano GeSHi 1.0.8.10` Przedtem mialem wbity w thema w miejce odpowiadaj?ce za wy?wietlanie filmów kod: GeSHi: XML `<object width="800" height="600"><param name="movie" value="zmienna_link"></param><param name="allowFullScreen" value="true"></param><embed src="zmienna_link" type="application/x-shockwave-flash" allowfullscreen="true" width="800" height="zmienna_height"></embed></object> Zinterpretowano w sekund: 0.001, wykorzystano GeSHi 1.0.8.10` Ateraz tylko $zmienna_link co odpowiada za ca?y kod Zastanawia?em si? nad takim rozwi?zaniem jak proponujesz ale wydaje mi si? ?e to za du?o kombinowania. Edytowane przez Pieka dnia 07.02.2010 03:04:03


piotrek199214	#6 Dodany dnia 04.02.2010 16:17:54
Bywalec Postów: 977 Pomógł: 168 v7.01.05 Data rejestracji: 17.12.2007 21:05	Czy ja wiem czy du?o kombinowania, raczej nie. Pomog?em Ci? Wystarczy podzi?kowa? i oznaczy? post jako pomocny Tanie tworzenie wtyczek, masz problem napisz.


phm	#7 Dodany dnia 04.02.2010 21:50:19
Przedszkolak Postów: 16 Pomógł: 2 Data rejestracji: 04.02.2010 21:28	Przyznam, ?e nie do ko?ca rozumiem ide? Twojego kodu. U?ytkownik wprowadza link do formularza, Ty go pobierasz i "obrabiasz" w tagi object, itd, odpowiedzialne za prawid?owe wy?wietlenie filmu? Pytasz, czy to bezpieczne. W Twoim skrypcie nie widz? niczego, co sprawdza?oby poprawno?? wprowadzonych danych. Stosujesz stripshlashes(), które odpowiada jedynie za zabaw? slashami (znaczkami typu / ) i które stosuje si?, gdy flaga magic_quotes_gpc jest ustawiona (on). Otrzymane linki przechowujesz najprawdopodobniej w bazie danych (zgaduj?, bo z kodu to te? nie wynika). Do zabaw z wysy?anymi do bazy danych ci?gów znaków, polecam mysql_real_escape_string (w manualu przeczytasz sobie zalety tej funkcji). Chodzi o to ?e np. gdy kto? zamiast kodu filmu wpisze </td></td></td></td> to rozjedzie mi si? ca?a strona i tp. Tutaj sam odpowiedzia?e? sobie na pytanie odno?nie bezpiecze?stwa. Nie filtrujesz danych ca?kowicie poprawnie. Twój skrypt podatny jest na XSS oraz HTML Injection (i w zale?no?ci od konfiguracji serwera mo?na podpi?? jeszcze SSI Inj. ). Ju? t?umacz? jak to dzia?a. Kto?, zamiast linku filmu przesy?a Ci z?o?liwy kod JavaScript, b?d? nawet prost? ramk? prowadz?c? do zawirusowanej strony. Ty, niczego nie?wiadomy sprawdzasz nades?ane linki. Przegl?darka trafia na z?o?liwy kod i wykonuje go (taka ju? jej robota). Jak zaradzi? Twojemu problemowi? S? dwa rozwiazania (i najlepiej zastosowa? oba): 1. pobawi? si? funkcjami takimi jak htmlspecialchars(), czy strip_tags() go usuni?cia wszystkich tagów HTML z wprowadzanego ciagu 2. zaraz po otrzymaniu ci?gu znaków, maj?cego by? linkiem do filmu, sprawdzi? za pomoc? wyra?e? regularnych, czy string jest rzeczywi?cie linkiem (budow? linka ka?dy zna) Edytowane przez phm dnia 04.02.2010 21:51:08


Joordan	#8 Dodany dnia 07.02.2010 00:55:34
Przedszkolak Postów: 39 Ostrzeżeń: 2 Data rejestracji: 03.01.2010 01:17	Super, dziekuje. Naprawde wyczerpa?e? temat i du?o si? od ciebie dowiedzia?em :) Link do filmu jest oczywi?cie wysy?any do bazy sql. A idea mia?a by? taka aby ka?dy móg? podejrze? przed wys?aniem, tekst miniatórk? obrazka i film w formie takiej jak na gotowej pod stronie z filmem. Rezugnuje z tego bo g?owa ju? mnie od tego rozbola?a :) A je?li w miejscu odpowiedzialnym za wysy?anie linka do bazy, stripshlashes zamienie na stripinput to te? b?dzie dobrze? W-tedy ka?dy kod HTML itp. powinien by? wy?wietlany jako zwyk?y tekst...? Np.: Rozwiń Kod źródłowy `$link = stripinput($POST['link'])` Edytowane przez Pieka dnia 07.02.2010 01:07:55


phm	#9 Dodany dnia 07.02.2010 02:14:16
Przedszkolak Postów: 16 Pomógł: 2 Data rejestracji: 04.02.2010 21:28	Powiem w skrócie tak: Cokolwiek wysy?asz do bazy danych - musi by? sprawdzone pod wzgl?dem mo?liwo?ci wstrzykni?cia kodu SQL (SQL Injection). Cokolwiek wy?wietlasz na stronie w postaci kodu, musi by? sprawdzone pod wzgl?dem tagów (XSS i HTML Injection). je?li pomog?em - kliknij pomóg? pajacyk.pl - kliknij w pajacyka

Przejdź do forum:

Twój link u nas!

Nawigacja

G?ówne menu

Komunikacja

Elementarz

Dokumentacja

Aktualnie online

Logowanie

Shoutbox

Zobacz temat