■Re:エガミくんの脆弱性のやつ

エガミくんの脆弱性のやつ

http://anond.hatelabo.jp/20081020032812

id:Hamachiya2さん！id:hiroyukiegamiです。

お返事有難う御座います！

おぉ、確かにおっしゃるとおりです。

丸投げしてしまい申し訳御座いません。

分からない点を投げさせてもらいますね。

id:zapaさんとかがやっている荒らしソースは

http://flickr2.in/fli.html?data=%3Cscript%3Ejavascript%3Aalert(%27xss%27)%3B%3C%2Fscript%3E

なので$_get[data]の箇所のjsタグを無効化すればいいのでしょうかね？

現在は

$params = array('api_key' => 'フリッカーのAPIキー',

'method' => 'flickr.photos.search',

'text' => $_GET["data"],

'per_page' => '50',

'page' => '1',

'extras' => 'owner_name',

'format' => 'php_serial',);

$encoded_params = array();

となっておりますので。

こうしたらいいのでしょうか？

$Hamachiya2 = htmlspecialchars($_GET["data"], ENT_QUOTES); //←ここを追加

$params = array('api_key' => 'フリッカーのAPIキー',

'method' => 'flickr.photos.search',

'text' => $Hamachiya2,

'per_page' => '50',

'page' => '1',

'extras' => 'owner_name',

'format' => 'php_serial',);

$encoded_params = array();

結果・・・

http://flickr2.in/fli.html?data=%3Cscript%3Ejavascript%3Aalert(%27xss%27)%3B%3C%2Fscript%3E

うーん、、、やっぱりアラートが出ちゃいますね…。

なぜでしょうか。。。

XSS対策で有名と言われるタグ、『htmlspecialchars』を使って

* '&' (アンパサンド) は '&' になります。

* ENT_NOQUOTES が設定されていない場合、 '"' (ダブルクォート) は '"'になります。

* ENT_QUOTES が設定されている場合のみ、 ''' (シングルクオート) は '''になります。

* '<' (小なり) は '<' になります。

* '>' (大なり) は '>' になります。

を変換したのに、、、なんでエラーが出るんだろー（涙）

htmlspecialcharsってどういう効果があるんですかね？？

教えてid:Hamachiya2先生ー！

参考URL

PHP: htmlspecialchars - Manual

http://jp.php.net/htmlspecialchars

string htmlspecialchars ( string $string [, int $quote_style [, string $charset [, bool $double_encode ]]] )

文字の中には HTML において特殊な意味を持つものがあり、 それらの本来の値を表示したければ HTML の表現形式に変換してやらなければなりません。 この関数は、これらの変換を行った結果の文字列を返します。 これは、日常的な Web プログラミングにおいて最も有用な変換を行います。 全ての HTML 文字エンティティを変換する必要がある場合には、代わりに htmlentities() を使用してください。

追伸

全然関係ないのですが、最近ちょっと寂しい事がありました。

今度よかったら話し聞いてください。

ツイートする

Permalink | トラックバック(1) | 04:15