الموضوع تابع للموضوع
ثغرة نتيجة استخدام HTML في المشاركات
http://www.swalif.net/softs/showthre...&postid=431833
وشكرا للاخوه على النقاش الجميل والهادف
وهنا امثل الحلول التي توصلت اليها مع التوضيح بالامثلة
كان التركيز على ابطال مفعول الوصف <script> وكانت اغلب المحاولات من الاخوه لا تفي بالمطلوب
عند اضافة او تعديل الكلمة لن تظهر في اي مثال او اي مشاركة واذا كان التعديل بسيط واضفنا درس فيه هذه الكلمة لن ينفذ الكود ما يطلب منه إذا قام بتجربته
لذلك يجب ان تظهر كما هي
اغلبنا يعرف وظيفة الدالة htmlspecialchars
تقوم هذه الدالة بتحويل بعض من واصفات html الى رموز حتى تظهرها في المستعرض
مثال لو تكتب في الفرنت بيج <br> واذهب استعرض html تجد هذه النتيجة
<br>
ومن هنا نستنتج الحل
نستبدل <>
ولو استبدلت واحد منهما يكفيكود PHP:
$txt = eregi_replace( ">", ">", $txt );
$txt = eregi_replace( "<" , "<", $txt );
حتى الان لم نحل المشكلة لاني اريد ان استخدم واصفات html في المشاركة واريد تنفيذها والمثال السابق يبطلها وكاني استخدم الدالة
htmlspecialchars
كل ما يهمنا <script>
ولكن ربما تاتي بشكل اخر مثلا <script language='JavaScript'>
الحل نستبدل بداية الوصف > ويكفي
مثال
لا يمكن تنفيذة ويصبح من المخرجاتكود PHP:
<?php
$txt ="<script language='JavaScript' type='text/javascript'>";
$txt =preg_replace("/<script/i","<script",$txt);
echo $txt;
?>
ومن هذا المثال يمكن استبدال اي وصف html ترى فيه خطورة
واذا كنت لا تعرف الرموز التي تستبدلها فقط اكتب الوصف في الفرنت بيج
وانتقل الى مستعرض html
اتمنى ان اكون قد وصلت لنتيجة مرضيه