Test Foro de elhacker.net SMF 2.1

necesito mostrar este codigo en mi web:

    <object type="application/x-shockwave-flash" style="width:425px;height:350px" data="http://video.google.com/googleplayer.swf?docId=<?php echo $so; ?>">
    <param name="movie" value="http://video.google.com/googleplayer.swf?docId=<?php echo $so; ?>" />
    </object>

lo que pasa es que si lo pongo en modo "textarea" es decir el que tiene la barrita para mover el texto arriba y a los lados, es vulnerable a ataques xss, pero si lo pongo en modo "text" el tipico de una linea, no es vulnerable.

Por lo que me gustaria ponerlo en una linea si puede ser. O si no ayudarme para que no sea vulnerable a ataques xss.

$so k contiene el id del video=? pués filtra ese id sin más...
no tiene más misterio xD

si pero lo necesito para que muestre la variable, mira lo hago para eso:

http://www.dimitrix.es/googlevideos/

filtra la variable sin más para comprobar que son datos válidos... es lo que te comente anteriormente, si sabes que carácteres se permiten, solo admite ese tipo y listo xD

por cierto el menú de la derecha al pasar el ratón empieza a hacer cosas raras como vibrar todos sin razón xD

Si bueno, se vuelve la letra más pequeña XD. pero lo de filtrar no lo tendria que poner el la pagina index.php para que si metes hola quede en la pagina solucion.php:

Citar
    <object type="application/x-shockwave-flash" style="width:425px;height:350px" data="http://video.google.com/googleplayer.swf?docId=hola<?php echo $so; ?>">
    <param name="movie" value="http://video.google.com/googleplayer.swf?docId=hola<?php echo $so; ?>" />
    </object>

pero si hicieramos solucion.php?so=</textarea><script>alert(/xss/)</script>
apareceria la cajina o no ¿?

si apareceria en la cajita, yo no acabo de entender que es lo que quieres ñ_ñ

Al parecer lo que quieres es poner videos de google en tu web, cierto?

podrias hacer una funcion en JS o PHP y unicamente pasarle el valor ID del video, claro, puedes filtrar los catacteres "<",">","/","'" y listo, no habra problemas :) aaaaaa, y tambien el caracter "%" ;)

y entonces, en solucion.php ya no habra problemas de que te pudieran meter los codigos malditos

eso de simplemente filtrar en javascript no lo hagas, debes filtrar los datos al recibirlos (en el php) ya que el javascript se puede desactivar, con filtrar en php bastaría pero para que quede más bonito en ambos lados y fuera xD

y cual seria el codigo para filtrar ¿?  ;D sorry

www.google.com

strreplace o algo similar, buscate la vida!!

primero deberías saber que filtrar, segundo buscarlo y sustituirlo...

disparar una función javascript al pulsar sobre el text y en el php

Bueno ya esta:
    <object type="application/x-shockwave-flash" style="width:425px;height:350px" data="http://video.google.com/googleplayer.swf?docId=<?php echo $so; ?>"> <param name="movie" value="http://video.google.com/googleplayer.swf?docId=<?php echo $so; ?>" />     </object>

La variables $so es un ID numérico?

En ese caso usa la función is_numeric().

Saludos.

aparte de los numeros tambien esta el signo "-"

Pero podrias quitarle los caracteres que no se usan

"<>'!%"
[...]

son strreplace() podras hacer eso ñ_ñ

Ok, muchas gracias.

:-\

http://www.dimitrix.es/googlevideos/2.php?codigo=%22%3E%3Cscript%3Ealert(String.fromCharCode(88,83,83));window.stop();%3C/script%3E
 

Cita de: Azielito en 27 Junio 2007, 16:10 PM
Pero podrias quitarle los caracteres que no se usan

"<>'!%"
[...]

son strreplace() podras hacer eso ñ_ñ

y como lo tendria que poner, quiero decir el codigo que utilizo es

<INPUT TYPE="TEXT" NAME="mensaje" VALUE="[FLASH]http://video.google.com/googleplayer.swf?docId=<?php echo $codigo; ?>[/FLASH]"
  style="FONT-SIZE: 10pt; FONT-FAMILY: Arial" rows=4 cols=27 size="40">

El fallo esta en <?php echo $codigo; ?>, pero que tendria q poner¿?

intentando hacer el strreplace ()

lo he puesto así:

<INPUT TYPE="TEXT" NAME="mensaje" VALUE="[FLASH]http://video.google.com/googleplayer.swf?docId=$codigo= str_replace("(","ERROR");[/FLASH]"
  style="FONT-SIZE: 10pt; FONT-FAMILY: Arial" rows=4 cols=27 size="40">

pero no me sale nada, no se me cambia ni me sale bien la pagina... x lo q qcreo q así no es:
$codigo= str_replace("(","ERROR");

Con esto queria conseguir acmbiar el parentisis por la palabra ERROR

Hola, mira este post
https://foro.elhacker.net/index.php/topic,164268.0.html

Luego, lo modificamos a lo que tu necesitas...
la funcion que nos interesa es esta:
<?php
# Funcion para limpiar caracte-
# res que pudieran comprometer
# al servidor y/o al usuario
# By: azielito.deviantart.com
function limpia($var){
$var = strip_tags($var);
$malo = array("\\",";","\'","'"); // Aqui poner caracteres no permitidos
$i=0;$o=count($malo);
while($i<=$o){
$var = str_replace($malo[$i],"",$var);
$i++;
}
return $var;
}
?>


y entonces, esta funcion la pones donde se captura ese $codigo, o sea, arriba del documento pones esta funcion y luego
<INPUT TYPE="TEXT" NAME="mensaje" VALUE="[FLASH]http://video.google.com/googleplayer.swf?docId=<?php echo limpia($codigo); ?>[/FLASH]"
  style="FONT-SIZE: 10pt; FONT-FAMILY: Arial" rows=4 cols=27 size="40">

Con esto limpiamos esos "caracteres malditos"

El archivo final podria quedar asi
<?php
# Funcion para limpiar caracte-
# res que pudieran comprometer
# al servidor y/o al usuario
# By: azielito.deviantart.com
function limpia($var){
$var = strip_tags($var);
$malo = array("\\",";","\'","'"); // Aqui poner caracteres no permitidos
$i=0;$o=count($malo);
while($i<=$o){
$var = str_replace($malo[$i],"",$var);
$i++;
}
return $var;
} ?>
aca cosas html
mas cosas
tablas
divs
texto xD
formularios
<INPUT TYPE="TEXT" NAME="mensaje" VALUE="[FLASH]http://video.google.com/googleplayer.swf?docId=<?php echo limpia($codigo); ?>[/FLASH]"
  style="FONT-SIZE: 10pt; FONT-FAMILY: Arial" rows=4 cols=27 size="40">

mas cosas
fin de formulario
fin de documento

Ahora lo arreglo todo, y cuando termine, cada fallo que descubras te doy 1€ si me ayudas a arreglarlo, con mi web te forraras al final  :xD

jahahaha

para nada, mira el post que te mande ;) podrias usarlo y no te menten nada de caracteres malditos ;)

a menos que alguien diga lo contrario :P

Como minimo dejar que os lo agradezca desde mi web a ti y ha YeIK0s desde mi web. Lo puse en la parte principal a fecha de hoy: http://www.dimitrix.es/

>.< graicas, nunca antes alguien habia tomado esa molestia :-* :-*

Cita de: Azielito en 27 Junio 2007, 21:11 PM
>.< graicas, nunca antes alguien habia tomado esa molestia :-* :-*

Creo que es lo minimo que puedo hacer.