фигня какая-та про тэги

И всё прочее, что касается HTML
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Аватара пользователя
thefree
лейтенант
Сообщения: 980
Зарегистрирован: 2008-12-29 9:23:19
Откуда: Весёлая Страна

фигня какая-та про тэги

Непрочитанное сообщение thefree » 2009-11-25 19:37:33

Код: Выделить всё

sub _cleaning {   # сносить оспасный теги
    my $self = shift;

    $self->{value} =~ s!0!!g;
    $self->{value} =~ s|&|;|g;
    $self->{value} =~ s|<!--||g;
    $self->{value} =~ s|-->||g;
    $self->{value} =~ s|<script||ig;
    $self->{value} =~ s|>||g;
    $self->{value} =~ s|<||g;
    $self->{value} =~ s|"||g;
    $self->{value} =~ s|  | |g;
    $self->{value} =~ s!\|!|!g;
    $self->{value} =~ s|\n||g;
    $self->{value} =~ s|\$||g;
    $self->{value} =~ s|\r||g;
    $self->{value} =~ s|\_\_(.+?)\_\_||g;
    $self->{value} =~ s|\\||g;
    $self->{value} =~ s|\'||g;
    $self->{value} =~ s|!||g;

    return $self;

}
это пиздец ... ладно Вы бы заменяли ... что-то так вы проста вырезает
Не судите меня строго, Я не волшебник, а только учусь!
http://planetbsd.ru - RSS-агрегатор *BSD по Рунету

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
ProFTP
подполковник
Сообщения: 3388
Зарегистрирован: 2008-04-13 1:50:04
Откуда: %&й
Контактная информация:

Re: фигня какая-та про тэги

Непрочитанное сообщение ProFTP » 2009-11-26 4:01:54

тут нужно было именно вырезать...

взято с ikonboard
Pеrl FAQ
perl -e 'print join"",map $$_[rand@$_],([0..9,'a'..'z','A'..'Z'])x30'
ИзображениеИзображение

Аватара пользователя
thefree
лейтенант
Сообщения: 980
Зарегистрирован: 2008-12-29 9:23:19
Откуда: Весёлая Страна

Re: фигня какая-та про тэги

Непрочитанное сообщение thefree » 2009-11-26 9:29:34

еще раз говорю это пиздец.

Код: Выделить всё

$self->{value} =~ s|<script||ig;
если вы вырезали начало тяга то может быть и стоит вырезать конец?
да и потом если кто-то что-то написал то может не стоит безбожно копировать? в regexp есть такая штучка как |
Не судите меня строго, Я не волшебник, а только учусь!
http://planetbsd.ru - RSS-агрегатор *BSD по Рунету

Аватара пользователя
ProFTP
подполковник
Сообщения: 3388
Зарегистрирован: 2008-04-13 1:50:04
Откуда: %&й
Контактная информация:

фигня какая-та про тэги

Непрочитанное сообщение ProFTP » 2009-11-26 9:37:24

я взял готовое чтобы не изобретать велосипед... чтобы не сделать ошибки и вообще, а форум ikonboard более менее популярный и любая XSS там не пройдет...

===

s|>||g - это удаляется, на cчет <\script - оно роли не играет, по-моиму оно удаляется само, можно удалить, какая разница?

это удаление XSS просто - это фигня ... роли не играет

еще есть некоторые модули на cpan.org можно их использовать для удаления или экранирования XSS

Код: Выделить всё

sub clean {
    my $Tmp = shift;
    return '' unless defined $Tmp;
    $Tmp =~ s|&|&|g;
    $Tmp =~ s|<!--|<&#33;--|g; $Tmp =~ s|-->|-->|g;
    $Tmp =~ s|<script|<script|ig;
    $Tmp =~ s|>|>|g;
    $Tmp =~ s|<|<|g;
    $Tmp =~ s|"|"|g;
    $Tmp =~ s!^\s+!!;
    $Tmp =~ s!\s+$!!;
    $Tmp =~ s|  | &nbsp;|g;
    $Tmp =~ s!\|!&#124;!g;
    $Tmp =~ s|\n|<br>|g;
    $Tmp =~ s|\$|&#036;|g;
    $Tmp =~ s|\r||g;
    $Tmp =~ s|\_\_(.+?)\_\_||g;
    $Tmp =~ s|\\|&#92;|g;
    $Tmp =~ s|!|&#33;|g;
    $Tmp =~ s|\'|'|g;
    return $Tmp;
}

что вы имеете ввиду?

кроме слова "пиздец" :smile:

если тебе нужно удалить <\script - удали...
Последний раз редактировалось ProFTP 2009-11-26 12:43:34, всего редактировалось 14 раз.
Pеrl FAQ
perl -e 'print join"",map $$_[rand@$_],([0..9,'a'..'z','A'..'Z'])x30'
ИзображениеИзображение

Аватара пользователя
thefree
лейтенант
Сообщения: 980
Зарегистрирован: 2008-12-29 9:23:19
Откуда: Весёлая Страна

Re: фигня какая-та про тэги

Непрочитанное сообщение thefree » 2009-11-26 12:46:54

ProFTP писал(а):я взял готовое чтобы не изобретать велосипед... чтобы не сделать ошибки и вообще, а форум ikonboard более менее популярный и любая XSS там не пройдет...

===

s|>||g - это удаляется, на cчет <\script - оно роли не играет, по-моиму оно удаляется само, можно удалить, какая разница?

это удаление XSS просто - это фигня ... роли не играет

еще есть некоторые модули на cpan.org можно их использовать для удаления или экранирования XSS

Код: Выделить всё

sub clean {
    my $Tmp = shift;
    return '' unless defined $Tmp;
    $Tmp =~ s|&|&|g;
    $Tmp =~ s|<!--|<&#33;--|g; $Tmp =~ s|-->|-->|g;
    $Tmp =~ s|<script|<script|ig;
    ...
    $Tmp =~ s|\'|'|g;
    return $Tmp;
}

что вы имеете ввиду?

кроме слова "пиздец" :smile:

если тебе нужно удалить <\script - удали...
Я введу к тому что перед тем как брать велосипед сначала надо подумать что вы делаете ...

Код: Выделить всё

 $Tmp =~ s|<script|<script|ig; и $self->{value} =~ s|<script||ig;
это 2е БОЛЬШИХ РАЗНИЦЫ,
если пойдет строчка <script>sdsdsd</script> на выходи после вашего преобразование мы получим sdsdsd/script, вам не кажется что, что-то лишнее появляется? ах и еще в REGEXP есть |
p.s. а слово пиздец молодой чиловек можете рассматривать как частный случай. Потому что, не вижу логики в урезание велосипеда, когда вы режете и не понимает что режете.
Не судите меня строго, Я не волшебник, а только учусь!
http://planetbsd.ru - RSS-агрегатор *BSD по Рунету

Аватара пользователя
ProFTP
подполковник
Сообщения: 3388
Зарегистрирован: 2008-04-13 1:50:04
Откуда: %&й
Контактная информация:

Re: фигня какая-та про тэги

Непрочитанное сообщение ProFTP » 2009-11-26 13:35:23

да, правильно, но данный метод используется в фильтрации ТОЛЬКО заголовков, такие как на на этом форуме
Заголовок:
задача: удалить опасный тэги
(подчеркиваю)

нормальные человек ставить тєг "</sсript>" в заголовок не будет, по этому это двоично и даже троично
для экранирвоание тэгов таких в тексте я поставил:
use HTML::Entities::Numbered;
Последний раз редактировалось ProFTP 2009-11-26 14:59:54, всего редактировалось 1 раз.
Pеrl FAQ
perl -e 'print join"",map $$_[rand@$_],([0..9,'a'..'z','A'..'Z'])x30'
ИзображениеИзображение

Аватара пользователя
thefree
лейтенант
Сообщения: 980
Зарегистрирован: 2008-12-29 9:23:19
Откуда: Весёлая Страна

Re: фигня какая-та про тэги

Непрочитанное сообщение thefree » 2009-11-26 14:34:38

ProFTP писал(а):да, правильно, но данный метод используется в фильтрации ТОЛЬКО заголовков, такие как на на этом форуме
Заголовок:
задача: удалить опасный тэги
(подчеркиваю)

нормальные человек ставить тєг "sсript" в заголовок не будет, по этому это двоично и даже троично
для экранирвоание тэгов таких в тексте я поставил:
use HTML::Entities::Numbered;
да какая разница? вы удаляете опасные тяги, так удаляйте его до конца и потом зачем удалять если надо экранировать? в друг у меня будет
заголовок: помогите с <script src=></ ...
вы же проста повырезает кусок. И это не правильно так еще вы и regexp не может нормально использовать.
Не судите меня строго, Я не волшебник, а только учусь!
http://planetbsd.ru - RSS-агрегатор *BSD по Рунету

Аватара пользователя
ProFTP
подполковник
Сообщения: 3388
Зарегистрирован: 2008-04-13 1:50:04
Откуда: %&й
Контактная информация:

Re: фигня какая-та про тэги

Непрочитанное сообщение ProFTP » 2009-11-26 15:02:17

ProFTP писал(а):если тебе нужно удалить <\script - удали...
Pеrl FAQ
perl -e 'print join"",map $$_[rand@$_],([0..9,'a'..'z','A'..'Z'])x30'
ИзображениеИзображение

Аватара пользователя
thefree
лейтенант
Сообщения: 980
Зарегистрирован: 2008-12-29 9:23:19
Откуда: Весёлая Страна

Re: фигня какая-та про тэги

Непрочитанное сообщение thefree » 2009-11-26 15:08:29

зачем тогда ваша статья? зачем вы что-то публикуете если
1. Решения не полное
2. Оно не оптимальное
3. У вас 3 функции которые делаю почти одно и то же...

Да и вообще использовать хешь в пустую это тупа.
Не судите меня строго, Я не волшебник, а только учусь!
http://planetbsd.ru - RSS-агрегатор *BSD по Рунету

Аватара пользователя
thefree
лейтенант
Сообщения: 980
Зарегистрирован: 2008-12-29 9:23:19
Откуда: Весёлая Страна

Re: фигня какая-та про тэги

Непрочитанное сообщение thefree » 2009-12-04 16:56:16

это был пост к вашей статье и не стоила разделять тему ... не очень красиво ...
===
Коментил я вашу статью и код от туда или критика не устраивает?
Не судите меня строго, Я не волшебник, а только учусь!
http://planetbsd.ru - RSS-агрегатор *BSD по Рунету

Аватара пользователя
hizel
дядя поня
Сообщения: 9032
Зарегистрирован: 2007-06-29 10:05:02
Откуда: Выборг

Re: фигня какая-та про тэги

Непрочитанное сообщение hizel » 2009-12-04 17:04:56

ээ, миль пардон , надо было сцылку сделать на исходник :-)
В дурацкие игры он не играет. Он просто жуткий, чу-чу, паровозик, и зовут его Блейн. Блейн --- это Боль.

Аватара пользователя
thefree
лейтенант
Сообщения: 980
Зарегистрирован: 2008-12-29 9:23:19
Откуда: Весёлая Страна

Re: фигня какая-та про тэги

Непрочитанное сообщение thefree » 2009-12-04 17:11:26

да я тут что-то слюной стал брызгать ... вот разделили тему ...
Ну не оптимальный код и с кучей ошибок ...
Не судите меня строго, Я не волшебник, а только учусь!
http://planetbsd.ru - RSS-агрегатор *BSD по Рунету