IMANAZADI
پنج شنبه 29 خرداد 1393, 12:39 عصر
با سلام
من واسه توجیح امنیت ، واسه خودم یک فایل php با نام test بصورت زیر در برنامه dreamviewer نوشتم
<!doctype html>
<html>
<head>
<meta charset="utf-8">
<title>Untitled Document</title>
</head>
<body>
<?php
if(isset($_POST['submit']))
{ $name = $_POST['name'];
echo "User Has submitted the form and entered this name : <b> $name </b>";
echo "<br>You can use the following form again to enter a new name."; echo "<br>";
// echo $_SERVER['PHP_SELF'];}
?>
<form method="post" action="<?php echo $_SERVER['PHP_SELF']; ?>">
<input type="text" name="name"> <br>
<input type="submit" name="submit" value="Submit Form"> <br>
</form>
</body>
</html>
بعد از اجرا در مرورگر(xammp) ، واسه اینکه متوجه باگ xss بشم اومدم و در آخر آدرس اسکریپت زیر رو وارد کردم و اون رو اجرا کردم
http://localhost/NewSite/test.php/<script>alert('hi');</script>
ولی پبام جاوااسکریپت نشون داده نشد
بنظر شما ایراد کار از چیه ؟
هدف من متوجه شدن باگ و رفع اون با کد htmlspecialchars() به صورت زیر بود
<form action="<?php echo htmlspecialchars($_SERVER['PHP_SELF'],ENT_QUOTES); ?>">
که بدون کد فوق هم درست عمل کرد ؟؟؟؟!!!!
جاوااسکریپت هم فعاله !!!!!!!!؟؟؟؟؟؟؟؟
من واسه توجیح امنیت ، واسه خودم یک فایل php با نام test بصورت زیر در برنامه dreamviewer نوشتم
<!doctype html>
<html>
<head>
<meta charset="utf-8">
<title>Untitled Document</title>
</head>
<body>
<?php
if(isset($_POST['submit']))
{ $name = $_POST['name'];
echo "User Has submitted the form and entered this name : <b> $name </b>";
echo "<br>You can use the following form again to enter a new name."; echo "<br>";
// echo $_SERVER['PHP_SELF'];}
?>
<form method="post" action="<?php echo $_SERVER['PHP_SELF']; ?>">
<input type="text" name="name"> <br>
<input type="submit" name="submit" value="Submit Form"> <br>
</form>
</body>
</html>
بعد از اجرا در مرورگر(xammp) ، واسه اینکه متوجه باگ xss بشم اومدم و در آخر آدرس اسکریپت زیر رو وارد کردم و اون رو اجرا کردم
http://localhost/NewSite/test.php/<script>alert('hi');</script>
ولی پبام جاوااسکریپت نشون داده نشد
بنظر شما ایراد کار از چیه ؟
هدف من متوجه شدن باگ و رفع اون با کد htmlspecialchars() به صورت زیر بود
<form action="<?php echo htmlspecialchars($_SERVER['PHP_SELF'],ENT_QUOTES); ?>">
که بدون کد فوق هم درست عمل کرد ؟؟؟؟!!!!
جاوااسکریپت هم فعاله !!!!!!!!؟؟؟؟؟؟؟؟