von NetDrag |
du must die eingabe filtern. Nuke ist generell unsicher, deshalb hab ichs nie verwendet und kenn jetzt die struktur nicht.
Jedenfalls kann man mit
if (preg_match ("/javascript/", $String)) {
print "No hacking please.";
} else {
print "Mein Code.";
}
das wort javascript rausfiltern.
Um mehr rauszufiltern such mal perl regular expressions.
Was passiert eigentlich wenn man bei nuke ;Drop tabellenname; in ein Eingabefeld schreibt das dann eine Select ausführt?
---
We are born wet, naked and hungry, then things got worse! |
von Austin Powers |
Ich hab eine potetielle Sicherheitslücke in Nuke gefunden:
über den <a> tag ist es möglich javascripts einzuschleusen.
Wer ist so richtig Konfirm in Nuke (es soll für die Version 6.0 sein), und hilft mir
den Filter für "javascript:" einzubauen?
Meine Kenntnisse halten sich in Grenzen und der Abgabetermin drückt.
_________________
MfG:
Austin Power (Saturn Realm)
<----------------------------------------------------------------->
Wer Fehler findet, darf sie behalten!
[ Diese Nachricht wurde geändert von: Austin Powers am 2002-11-24 06:03 ] |
|