Cкрипт добавления записей

1. Николай (09.11.2010 / 14:52)
Здраствуйте, у меня есть один скрипт он добавляет запись с сайта в txt файл... но проблема то в том что НАПРИМЕР я ее буду использовать как гостевую и сделаю include к index.php для вывода записей то скрипт можно обмануть так написав в сообщении

<meta http-equiv="refresh" content="1;URL=http://site.ru/" />

то творяться удивительные чудеса сразу переходит на другой сайт! не знаю как быть мож кто подскажет как можно защитить скрипт от таких подобных выходок!
Сам скрипт!

<?php
$name = $_POST['name']; // собираем введенные данные и записываемв переменные
$email = $_POST['email'];
$nik = $_POST['nik'];
/////////////////////////////////////////////////
$text .= "Имя: $nik \n";
$text .= "Контакты: $name \n"; 
$text .= "Номер: $email \n";
 
//////////////////////////////////////////////
  if (!empty($name) && !empty($email) && !empty($nik)) //если все переменные имеют значения выполняем запись в файл
    {
    $file = fopen ("message.txt", "a+"); //открываем для перезаписи файл message.txt лежаший в одной папке с текущей страницей
    fwrite ($file,$text); // пишем в файл
    fclose ($file); // закрываем файл
    }
?>
      <form action="index.php" method="post">
        Как вас зовут?: 
      <br>
  <input name="nik" type="text" class="lnews_data" size="30">
  <br />
        Ваш icq или mail: <br>
  <input name="name" type="text" class="lnews_data" size="30" />
  <br />
        Какой icq вы хотите (см. ниже) <br>
  <input name="email" type="text" size="30">
  <br />
  <label><br />
  <input type="submit" name="submit" id="submit" value="Получить">
  </label>
      </form>

2. ктулху (09.11.2010 / 15:02)

<?php
$name = htmlspecialchars($_POST['name']);
$email = htmlspecialchars($_POST['email']); 
$nik = htmlspecialchars($_POST['nik']);
?>

фильтровать же надо

3. Николай (09.11.2010 / 15:06)
2. ShiftBHT_есть_чо7, а если будут использовать <script> то фильтрация поможет?

4. ктулху (09.11.2010 / 15:22)
а ты пропиши эти строки вместо твоих 2-5, и проверь

5. Николай (09.11.2010 / 15:37)
4. ShiftBHT_есть_чо7, благодарю ты спас меня от серьезной дырки....

6. ктулху (09.11.2010 / 15:41)
5, я боюсь представить что ты там нашкодил... это простешие фильтры, в идеале надо каждую переменную фильтровать согласно её типу

7. Николай (09.11.2010 / 15:47)
6. ShiftBHT_есть_чо7, да история вчера была взлома скрипта через эту дырку.... придурок какой то создал сайт на wen.ru и понаписал на этом сайте маты короче были....ну вот а у меня гостевая icq на это скрипте стояла ну вот он и сделал <metа> и я хз скок чел туда ушло...

8. Titov (10.11.2010 / 14:04)

kold (9 Ноября 2010 / 15:47)
6. ShiftBHT_есть_чо7, да история вчера была взлома скрипта через эту дырку.... придурок какой то создал сайт на wen.ru и понаписал на этом сайте маты короче были....ну вот а у меня гостевая icq на это скрипте стояла ну вот он и сделал <metа> и я хз скок чел туда ушло...

с сайта который в анкете7 Наверно человек 300 ушло. Так что латай дырко срочно, а то все уйдут и не вернуться на сайт с дыркой smile

9. KOZZ (10.11.2010 / 14:39)

Тitov (10 Ноября 2010 / 14:04)
с сайта который в анкете7 Наверно человек 300 ушло. Так что латай дырко срочно, а то все уйдут и не вернуться на сайт с дыркой

хех )

10. Дмитрий (25.12.2010 / 13:50)
ха чах ах:-)

11. Андрей (25.12.2010 / 13:57)

ViRtUoZ (25 Декабря 2010 / 15:50)
ха чах ах:-)

модеры убейте его!виртуоз ты надоел набирать кц!

URL: https://visavi.net/topics/15386