 |
السلام عليكم ورحمة لله
خاصية HTML: غير متاح
كثيرا ما نجد اغلاق هذه الخاصية
لوجود ثغرة او اكثر نتيجة إتاحة HTML في المشاركات
الثغرة المشهورة
كود جافا يضاف في المشاركة يقوم بسرقة الكوكيز
بتاكيد هناك اوامر لايعمل الكود الى بها اذا يوجد حل
وارغب في حل هذه المشكلة
فهل يتكرم احد ويرسل الكود لي من هنا
http://www.rafiaphp.com/mail.php?action=sendtome
واتعهد بعدم استخدامة او توزيعه
وانشر الحل
ايضا هل يوجد مشاكل اخرى تترتب على تفعيل HTML ?
__________________
مجموعة بي اتش بي العربية www.php4arab.org
البوابة العربية www.arabportal.net
عزيزي الأخ رفيع :
بخصوص هذه الثغرة ، فإنها ليست خاصة بـ HTML ، بل أيضا في السماح بإدراج الصور، والفلاش
فمثلا يوضع هذا الأمر مع إدراج الصورة
[img]http://www.toarab.ws/images/myname.gif<script>getcookie</script>
وهلم جرا
ولكي تقضي على هذه المشكلة أنت بين أمرين :
الأمر الأول : استعراض المشاركات المسموح فيها بكتابة وسوم HTML
الأمر الثاني :
التحقق من خلو الصور أو النص من الجافا سكربت
ويمكنك ذلك عن طريق الدالة
كود PHP:if (preg_match( "/javascript(\:|\s)/i", $txt)) {
return false;
}
مرحبا اخي العزيز الاستاذ عبد الرحمن
شكرا على المعلومة الجديدة المتعلقة بصور والفلاش
اما بخصوص الدالة امضافة
if (preg_match( "/javascript(:|s)/i", $txt))
لا تنطبق على
المثال
[img]http://www.toarab.ws/images/myname.gif<script>getcookie</script>
اما الحل
عند السماح بستخدام html يجب تنظيف المشاركة من اي وسوم javascript
او script
و تمرير مابين كود الصور او الفلاش على الدالة strip_tags
عند السماح بهما ايضا
هل هذا يكفي ؟
__________________
مجموعة بي اتش بي العربية www.php4arab.org
البوابة العربية www.arabportal.net
__________________
لاَ اِلَهَ اِلاَّ اَنْتَ سُبْحَانَكَ اِنِّي كُنْتُ مِنَ الظَّالِمِينَ
المثال المرفق اجتهاد ارجو ان يكون ما ترمي اليه
كود PHP:
$text = "[img]http://www.toarab.ws/images/myname.gif<script>getcookie</script>";
$searcharray = array(
"/javascript:/si",
"/<script>/si"
);
$replacearray = array(
"java script:",
"script :"
);
$text=preg_replace($searcharray, $replacearray, $text);
__________________
لاَ اِلَهَ اِلاَّ اَنْتَ سُبْحَانَكَ اِنِّي كُنْتُ مِنَ الظَّالِمِينَ
السلام عليكم
غير من إلى
أوكود PHP:"<script" to "< script"
"</script" to "< /script"
و الله أعلمكود PHP:"<script" to "<!--<script"
"</script>" to "</script>-->"
المثال الذي ذكره مراقب1 يفي بالغرض إن شاء الله
وأما بخصوص الدالة فضعها داخل دالة تحويل الصورة
أولا : تأخذ الرابط بين الوسمين [/img] [img]
ثانيا : تتحقق من هذا الرابط هل يبدأ بـ http أو لا؟
ثالثا : تتحقق من الرابط هل يحتوي على أمر script أو لا؟
مع العلم أنك لو أدرجت صورة من موقع javascript فلن تعمل لأنه الرابط سيحتوي على لفظة script
لكن أمن موقعك أهم من إدراج صورة من هذا الموقع.
والطريقة التي أوردها Zizwar نافعة؛ بحيث تعطل عمل الدالة
وكيف يمكن تطيق ذلك في حيز المنتدى ؟!
__________________
نعم للتعايش السلمي الاجتماعي .. ولا للعنف !
السلام عليكم
أظن ان افضل واسهل طريقة هي الغاء وسوم <> من رموز الصور
[img] ....
فهنا مهما كان احتواء عنوان الصورة على اسماء مثل javascript سوف لن ياثر على عمل رمز الصورة مثال
name.com/javascript/img.gif
وكما تلاحظ في عنوان الصورة مجلد باسم javascript ونحن لا نرغب في حذفه بما انه يعتبر من عنوان الصورة نفسها .....
وانا مش مبرمج PHP ولو اعرف كيف الطريقة بالـPHP لوضعته ... ولكن لمن يرغب في معرفت طريقة الغاء وسوم <> من رموز الصور بالبيرل فهذه هي الطريقة
وشكراكود:$text = "[img]http://www.name.com/javascript/img.gif<script>getcookie</script>"; $text =~ s/<[^>]*>//gi;
__________________
موت الصالح راحة لنفسه * وموت الطالح راحة للناس
كود PHP:<?
$txt = 'blablabla<i>bla</i><script>xx</script><img src="javascript:xx">';
MOBARMEG_MakeItCool(&$txt);
function MOBARMEG_MakeItCool($txt)
{
$txt = str_replace('javascript', 'java script', $txt);
$txt = str_replace('java script', 'java script', $txt);
$txt = strip_tags($txt, '<a><b><i><u><img><dev><p>');
return $txt;
}
echo $txt;
?>
__________________
ArabBB ... SoooooN!
السلام عليكم
اخي المبرمج الدالة لا يزال بها عيب وهو ان عنوان الصورة لو كان يحتوي على كلمة script او javascript فانه سيضع فراغ بينهم ولن تظهر الصورةرد مقتبس من Al Mobarmeg المبرمج
كود PHP:<?
$txt = 'blablabla<i>bla</i><script>xx</script><img src="javascript:xx">';
MOBARMEG_MakeItCool(&$txt);
function MOBARMEG_MakeItCool($txt)
{
$txt = str_replace('javascript', 'java script', $txt);
$txt = str_replace('java script', 'java script', $txt);
$txt = strip_tags($txt, '<a><b><i><u><img><dev><p>');
return $txt;
}
echo $txt;
?>
أظن ان بالاصح ان تكون بهذا الشكل
الغرض هو تعطيل وضيفة كودات الجافا من اداء وضيفتها .... دون ان نضطر لحظر بعض الاسماء ....كود PHP:<?
$txt = 'javascript/blablabla<i>bla</i><script>xx</script><img src="java script:xx">';
MOBARMEG_MakeItCool(&$txt);
function MOBARMEG_MakeItCool($txt)
{
$txt = str_replace('<', '', $txt);
$txt = str_replace('>', '', $txt);
$txt = strip_tags($txt, '<a><b><i><u><img><dev><p>');
return $txt;
}
echo $txt;
?>
وهذا نفس الدالة لمن يرغب بالبيرل :shy:
وشكراكود:#!/usr/bin/perl $txt = 'javascript/blablabla<i>bla</i><script>xx</script><img src="java script:xx">'; $txt = MOBARMEG_MakeItCool($txt); sub MOBARMEG_MakeItCool { my $text = shift; $text =~ s/<[^>]*>//gi; return $text; } print "Content-type: text/html\n\n"; print "<html><h1>$txt</h1></html>\n";
__________________
موت الصالح راحة لنفسه * وموت الطالح راحة للناس
أخي مسالم2002 ..
لو قمنا بـ
فما فائدة:كود PHP:<?
$txt = str_replace('<', '', $txt);
$txt = str_replace('>', '', $txt);
?>
نستطيع أن نزيل كل ال tags بـكود PHP:<?
$txt = strip_tags($txt, '<a><b><i><u>&a
mp;lt;img><dev><p>');
?>
strip_tags()
كـ
ولكن قصدي كان السماح ببعض الtagsكود PHP:<?
$txt = strip_tags($txt);
?>
__________________
ArabBB ... SoooooN!
السلام عليكم
معليش اخوي المبرمج ....
تراني اساسا مش فاهم الكود ولا كنت فاهم قصدك انه كذي وجوابي كان تخمين ....
والتمس منك العذر على ذلك ...
ولكن عزيزي على مافهمت من الاخوان انهم يتحدثون عن تمرير كودات الجافا في رموز الصور ... وطبيعي ان اي صورة لن تحتوي على tags وإلا فمعناه انه هناك كودات يتم تمريرها مع عنوان الصورة
أي انه لا داعي بالاساس من وضع tags في رموز الصور ...
وفي نظري افضل طريقة لحل لذلك هو التخلص من وسوم <> حتى يتم تعطيل الامر ...
وهذا كله في حال وجودها اما لو لم تحتوي على هذه الوسوم فلما يتم حظر بعض الكلمات التي قد تحتوي على عنوان الصورة مثل الدالة التي وضعتها ....
واسف على فهم الموضوع بالغلط
واعدل الدالة التي وضعتها في السابق بحيث فقط تعطل وسوم التي حتوي على امور جافا ... وعدى ذلك فانه لن يتم تعطيله ...
وشكراكود:sub MOBARMEG_MakeItCool { my $text = shift; $text =~ s/<\s*\/?(script|javascript|java|\n)[^>]*>//gi; return $text; }
__________________
موت الصالح راحة لنفسه * وموت الطالح راحة للناس
موضوع رائع
شكراً لإسهاماتكم
__________________
سبحان الله و بحمده سبحان الله العظيم .
random-x@hotmail.com
-------------
بين الفينة و الأخرى ... لماماً أظهر !
لكن أعتقد أنه متزال بعض الأكواد يلزم لها تغيير ك:
كود PHP:onmousemove
onclick
ondblclick
onmouseover
onmouseout
onmousedown
onmouseup
onblur
onfocus
..
ضوابط المشاركة
