Тема закрыта!
echo \"<a href=\\\"reg_site.php?site=\'$_GET[site]\'\\\">Назад</a></div>\";
вот код как исправить дыру?
$site = htmlspecialchars($_GET[\'site\'], ENT_QUOTES);
echo \"<a href=\'reg_site.php?site=$site\'>Назад</a>\";
echo \'<a href=\"reg_site.php?site=\'.htmlspecialchars(mysql_real_escape($_GET
[\'site\'])).\'\">Назад</a></div>\';
echo \"<a href=\"reg_site.php?site=\'.mysql_real_escape_string(trim($_GET[site])).\'\">Назад</a></div>\";
schastlivii, велосипед
NTL, XSS как была так и осталась
<? function filtr($text) {
$text = strip_tags($text);
$text = str_replace(\'&\',\'\', $text);
$text = str_replace(\'$\',\'\', $text);
$text = str_replace(\'<\',\'<\', $text);
$text = str_replace(\'>\',\'>\', $text);
$text = str_replace(\'~\',\'\', $text);
$text = str_replace(\'`\',\'\', $text);
$text = str_replace(\'#\',\'\', $text);
$text = str_replace(\'*\',\'\', $text);
$text = str_replace(\'%\',\'\', $text);
$text = str_replace (\'\\n\',\' \', $text);
$text = str_replace (\'\\r\',\'\', $text);
$text = htmlentities($text, ENT_QUOTES, \'utf-8\');
return $text;
} ?>
NTL, ага, и в итоге оно повырезает еще и кучу безопасных символов. Ну и, опять же, велосипед
http://codepad.org/AWH6weJF
с того, что в данном случае profi превратится в pofi
