Cкрипт добавления записей
1. Николай 09.11.2010 / 14:52Здраствуйте, у меня есть один скрипт он добавляет запись с сайта в txt файл... но проблема то в том что НАПРИМЕР я ее буду использовать как гостевую и сделаю include к index.php для вывода записей то скрипт можно обмануть так написав в сообщении
<meta http-equiv="refresh" content="1;URL=http://site.ru/" />то творяться удивительные чудеса сразу переходит на другой сайт! не знаю как быть мож кто подскажет как можно защитить скрипт от таких подобных выходок!
Сам скрипт!
<?php
$name = $_POST['name']; // собираем введенные данные и записываемв переменные
$email = $_POST['email'];
$nik = $_POST['nik'];
/////////////////////////////////////////////////
$text .= "Имя: $nik \n";
$text .= "Контакты: $name \n";
$text .= "Номер: $email \n";
//////////////////////////////////////////////
if (!empty($name) && !empty($email) && !empty($nik)) //если все переменные имеют значения выполняем запись в файл
{
$file = fopen ("message.txt", "a+"); //открываем для перезаписи файл message.txt лежаший в одной папке с текущей страницей
fwrite ($file,$text); // пишем в файл
fclose ($file); // закрываем файл
}
?>
<form action="index.php" method="post">
Как вас зовут?:
<br>
<input name="nik" type="text" class="lnews_data" size="30">
<br />
Ваш icq или mail: <br>
<input name="name" type="text" class="lnews_data" size="30" />
<br />
Какой icq вы хотите (см. ниже) <br>
<input name="email" type="text" size="30">
<br />
<label><br />
<input type="submit" name="submit" id="submit" value="Получить">
</label>
</form>
2. ктулху 09.11.2010 / 15:02
<?php $name = htmlspecialchars($_POST['name']); $email = htmlspecialchars($_POST['email']); $nik = htmlspecialchars($_POST['nik']); ?>фильтровать же надо
3. Николай 09.11.2010 / 15:06
2. ShiftBHT_есть_чо7, а если будут использовать <script> то фильтрация поможет?
4. ктулху 09.11.2010 / 15:22
а ты пропиши эти строки вместо твоих 2-5, и проверь
5. Николай 09.11.2010 / 15:37
4. ShiftBHT_есть_чо7, благодарю ты спас меня от серьезной дырки....
6. ктулху 09.11.2010 / 15:41
5, я боюсь представить что ты там нашкодил... это простешие фильтры, в идеале надо каждую переменную фильтровать согласно её типу
7. Николай 09.11.2010 / 15:47
6. ShiftBHT_есть_чо7, да история вчера была взлома скрипта через эту дырку.... придурок какой то создал сайт на wen.ru и понаписал на этом сайте маты короче были....ну вот а у меня гостевая icq на это скрипте стояла ну вот он и сделал <metа> и я хз скок чел туда ушло...
8. Titov 10.11.2010 / 14:04
kold (9 Ноября 2010 / 15:47)с сайта который в анкете7 Наверно человек 300 ушло. Так что латай дырко срочно, а то все уйдут и не вернуться на сайт с дыркой
6. ShiftBHT_есть_чо7, да история вчера была взлома скрипта через эту дырку.... придурок какой то создал сайт на wen.ru и понаписал на этом сайте маты короче были....ну вот а у меня гостевая icq на это скрипте стояла ну вот он и сделал <metа> и я хз скок чел туда ушло...
9. KOZZ 10.11.2010 / 14:39
Тitov (10 Ноября 2010 / 14:04)хех )
с сайта который в анкете7 Наверно человек 300 ушло. Так что латай дырко срочно, а то все уйдут и не вернуться на сайт с дыркой
10. Дмитрий 25.12.2010 / 13:50
ха чах ах:-)
11. Андрей 25.12.2010 / 13:57
ViRtUoZ (25 Декабря 2010 / 15:50)модеры убейте его!виртуоз ты надоел набирать кц!
ха чах ах:-)
URL: https://visavi.net/topics/15386