■http://anond.hatelabo.jp/20081020062655

はい！こんにちは！Hamachiya2だよ。

簡単に言うと、この数十個の文字で変数で囲んということだったのですか？？
この数文字の魔法を教えてもらってたらすぐ実践してたんですか・・・。

うん。そうだね。
たったそれだけだよ。
やってみれば、ものすごい簡単なことだよね、これ。

なんでみんな、たった一言「htmlspecialchars()でくくれよ！」って
直接、正解を言ってくれなかったんだろう。一言で済むのにね。

それは、みんな色々な意見があるんだろうけど…
たぶん、
みんなが何かにイラついていて余計に煽るような状態になっちゃっていたり
きみも何かにイラついてしまって、うまく聞けない状態になっていたりしたとか、
なんかそういうことなんじゃないかな。
よくわからないけど。

ちょっと眠いので、あとひとつだけ。
細かいところだけど。

いま http://flickr2.in/fli.html?data=%3Cscript%3Ejavascript%3Aalert(%27xss%27)%3B%3C%2Fscript%3E を確認してみたら、
たしかに、たぶんだいたい直ってるんだけど、imgの属性がシングルクオートとダブルクオート、無駄にふたつでクオートされてるよ。
これは脆弱性とは違うんだけど、せっかくだから直しておいたほうがいいね。

<img src='xxxxxx' title='"ぺろぺろ"' alt='"ぺろぺろ"' />

↑でてくるhtmlがこうなってる

<img src='xxxxxx' title='ぺろぺろ' alt='ぺろぺろ' />

↑こうなるようにする

Permalink | 記事への反応(1) | 06:41

ツイートシェア