[ Djordje Sumic @ 11.12.2004. 17:41 ] @
Pozdrav

php-om sam se bavio pre nekoliko meseci kad mi je trebao da napisem neku malu scriptu za medjusobno ostavljanje poruka usera koji se registruju na sajtu.

Taj script je do sada download-ovan stotinak puta ali sam ja ovih dana naisao na jedan problem. Procitao sam da u dosta scripti postoji opasnost od ostavljanja ovako necega u okviru poruke izmedju usera - <script>alert(document.cookie)</script>

e sad, ja sam isprobao moj script i kada posaljem takvu poruku on izbaci meni sadrzaj mog cookie-a za taj sajt.

Mozete li mi reci kako to da ispravim i zasto je to opasno ako korisnici ionako mogu samo svoj cookie da vide?
Ako stvarno ima realne opasnosti onda cu morati da obavesavam sve koji su skinuli kako scripta nije u redu i da treba nova verzija, a to bas ne bih voleo, nego bih pre ako je propust manje vise nebitan samo precutno stavio novu verziju scripte. Molim te objasnite mi ovo. hvala
[ zaraza @ 11.12.2004. 18:04 ] @
ovako ces da ispravis:
http://www.php.net/manual/en/function.strip-tags.php
[ CONFIQ @ 11.12.2004. 18:36 ] @
Gde si to pričitao da je opasno koristiti document.cookie ?
[ Djordje Sumic @ 11.12.2004. 18:47 ] @
hvala za savet za ispravljanje, ali tako nikakav html u okviru poruke nece raditi zar ne?

ne znam tachno gde sam nasao to za opasnost ali imas po celom internetu. kucaj document.cookie problem ili tako nesto u google-u i nacices vec

I dalje stoji moje pitanje zasto je ovo toliko opasno ako uopste jeste TOLIKO opasno jer se dosta pominje a ja ne vidim opasnost od toga sto moze user svoj cookie da vidi .. mada nisam preterano vest sa php-om i javascript-om pa mozda propustam nesto
[ zaraza @ 11.12.2004. 21:04 ] @
radice oni koje ti dozvolis, drugi parametar funkcije su dozvoljeni tagovi
znaci

Code:

$onostojeok='<b><i><a>'; //ili vec sta ti treba...
$ulaz = strip_tags($ulaz, $onostojeok);