Защита от XSS. Как?

T.R.O.N, эм, это не я тему создал :)

Я лишь предложил способы, я, как бы, и не опасаюсь ничего :)

Смысл тоже не ясен, причем xss к роутингу

Как сказали ранее, если нет модуля на 404 редиректить

От xss использовать http://php.net/htmlentities

и да регулярка странная для проверки, во-первых смысла в ней нет так как идет фактически проверка на присутсвие раздела а не на набора символов и во-вторых зачем точка в ней? т.е. вы пропускаете любой символ или что? a-zA-Z._0-9

T.R.O.N +1. ИМХО зачем проверять переменную если она напрямую на страницу не подставляется?

Варианты типа

echo $_GET['r'];

Но если уж дошло дело до echo или print то в помощь htmlspecialchars.

Еще можно глянуть в сторону htaccess.

передаем

index.php?razdel=%3Cscript%3Ealert(%22XSS%22)%3C/script%3E

пулучаем Ошибка!!! В разделе alert(\"XSS\") нет новостей

есть проверка 

 strip_tags

   htmlspecialchars

   htmlentities

но я хочу чтоб в переменной

$_GET['r'])

все остальное шло лесом

seosniks добавил 23.09.2009 в 09:58

if (isset($_GET['r'])) {

   if(!preg_match("/^[a-zA-Z._0-9]+$/", $_GET['r'])){ 

      echo "ERR"; 

  }

}

else {

   $_GET['r'] = "news";

   // Ну или Header("Location: error404.php");

} 

switch ($r) {

    case "news":

       include("news.php");

        break;

    case "news1":

       include("news1.php");

        break;

    case "news2":

       include("news2.php");

        break;

}

Разделы динамичные с ними разобрался.

новости берутся из текстового файла.

seosniks добавил 23.09.2009 в 10:01

Просто решил написать себе простую кмску для сателлитов не использующую базы данных sql

И легкую насколько это возможно.;)

seosniks, ну чем же тогда та же регулярка не подходит, м?

Вы бредите!

А зачем переменную razdel печатаь на экран??????? Мне всегда казалось что об этом рассказывают в тот-же момент когда объясняют как работает функция echo!

Такое может быть необходимо только на страницах с поиском и то обходится банальной заменой

> - &gt; < - &lt; & - &anp; %3C - &gt; %3E - &lt; При этом, если это поиск - такие символы вобще должны быть удалены....

Ну, не только поиск. Есть ещё несколько частных вариантов, а вообще T.R.O.N — прав. Зачем такие заморочки?

данные передаются методом GET/

это не поиск, это динамически генерируемое меню с сылками

по этому запрос виден в урле а так же на экране видим его значение.

На пример index.php?razdel=video

на экране видим Раздел видео>название статьи

Такое может быть необходимо только на страницах с поиском и то обходится банальной заменой

> - &gt; < - &lt; & - &anp; %3C - &gt; %3E - &lt; При этом, если это поиск - такие символы вобще должны быть удалены....

я могу сделать ссылки статическими но мне так не нужно.

переменная не печатается, на экране видим только название раздела и все.

В любом случае все получаемые из вне данные надо проверять.

Ну так ведь это недопустимо! По сути.

и еще razdel=video -> На экране Раздел видео... В чем проблема. Зачем саму переменную печатать?????

Конечно. Но только к XSS это отношение не имеет