Foro de elhacker.net

Programación => PHP => Mensaje iniciado por: dimitrix en 22 Junio 2007, 15:34 pm


Título: Pasar codigo a una linea
Publicado por: dimitrix en 22 Junio 2007, 15:34 pm
necesito mostrar este codigo en mi web:

Código:
    <object type="application/x-shockwave-flash" style="width:425px;height:350px" data="http://video.google.com/googleplayer.swf?docId=<?php echo $so; ?>">
    <param name="movie" value="http://video.google.com/googleplayer.swf?docId=<?php echo $so; ?>" />
    </object>

lo que pasa es que si lo pongo en modo "textarea" es decir el que tiene la barrita para mover el texto arriba y a los lados, es vulnerable a ataques xss, pero si lo pongo en modo "text" el tipico de una linea, no es vulnerable.

Por lo que me gustaria ponerlo en una linea si puede ser. O si no ayudarme para que no sea vulnerable a ataques xss.

Título: Re: Pasar codigo a una linea
Publicado por: Hans el Topo en 22 Junio 2007, 16:56 pm
$so k contiene el id del video=? pués filtra ese id sin más...
no tiene más misterio xD

Título: Re: Pasar codigo a una linea
Publicado por: dimitrix en 22 Junio 2007, 16:59 pm
si pero lo necesito para que muestre la variable, mira lo hago para eso:

http://www.dimitrix.es/googlevideos/

Título: Re: Pasar codigo a una linea
Publicado por: Hans el Topo en 22 Junio 2007, 17:59 pm
filtra la variable sin más para comprobar que son datos válidos... es lo que te comente anteriormente, si sabes que carácteres se permiten, solo admite ese tipo y listo xD

por cierto el menú de la derecha al pasar el ratón empieza a hacer cosas raras como vibrar todos sin razón xD

Título: Re: Pasar codigo a una linea
Publicado por: dimitrix en 22 Junio 2007, 19:12 pm
Si bueno, se vuelve la letra más pequeña XD. pero lo de filtrar no lo tendria que poner el la pagina index.php para que si metes hola quede en la pagina solucion.php:
Citar
    <object type="application/x-shockwave-flash" style="width:425px;height:350px" data="http://video.google.com/googleplayer.swf?docId=hola<?php echo $so; ?>">
    <param name="movie" value="http://video.google.com/googleplayer.swf?docId=hola<?php echo $so; ?>" />
    </object>

pero si hicieramos solucion.php?so=</textarea><script>alert(/xss/)</script>
apareceria la cajina o no ¿?

Título: Re: Pasar codigo a una linea
Publicado por: Azielito en 22 Junio 2007, 20:19 pm
si apareceria en la cajita, yo no acabo de entender que es lo que quieres ñ_ñ

Al parecer lo que quieres es poner videos de google en tu web, cierto?

podrias hacer una funcion en JS o PHP y unicamente pasarle el valor ID del video, claro, puedes filtrar los catacteres "<",">","/","'" y listo, no habra problemas :) aaaaaa, y tambien el caracter "%" ;)

y entonces, en solucion.php ya no habra problemas de que te pudieran meter los codigos malditos

Título: Re: Pasar codigo a una linea
Publicado por: Hans el Topo en 22 Junio 2007, 22:31 pm
eso de simplemente filtrar en javascript no lo hagas, debes filtrar los datos al recibirlos (en el php) ya que el javascript se puede desactivar, con filtrar en php bastaría pero para que quede más bonito en ambos lados y fuera xD

Título: Re: Pasar codigo a una linea
Publicado por: dimitrix en 22 Junio 2007, 23:09 pm
y cual seria el codigo para filtrar ¿?  ;D sorry

Título: Re: Pasar codigo a una linea
Publicado por: Hans el Topo en 22 Junio 2007, 23:49 pm
www.google.com

strreplace o algo similar, buscate la vida!!

primero deberías saber que filtrar, segundo buscarlo y sustituirlo...

disparar una función javascript al pulsar sobre el text y en el php

Título: Re: Pasar codigo a una linea
Publicado por: dimitrix en 27 Junio 2007, 14:41 pm
Bueno ya esta:
Código:
    <object type="application/x-shockwave-flash" style="width:425px;height:350px" data="http://video.google.com/googleplayer.swf?docId=<?php echo $so; ?>"> <param name="movie" value="http://video.google.com/googleplayer.swf?docId=<?php echo $so; ?>" />     </object>

Título: Re: Pasar codigo a una linea
Publicado por: Ertai en 27 Junio 2007, 15:05 pm
La variables $so es un ID numérico?

En ese caso usa la función is_numeric().

Saludos.

Título: Re: Pasar codigo a una linea
Publicado por: dimitrix en 27 Junio 2007, 15:49 pm
aparte de los numeros tambien esta el signo "-"

Título: Re: Pasar codigo a una linea
Publicado por: Azielito en 27 Junio 2007, 16:10 pm
Pero podrias quitarle los caracteres que no se usan

"<>'!%"
[...]

son strreplace() podras hacer eso ñ_ñ

Título: Re: Pasar codigo a una linea
Publicado por: dimitrix en 27 Junio 2007, 16:25 pm
Ok, muchas gracias.

Título: Re: Pasar codigo a una linea
Publicado por: yeikos en 27 Junio 2007, 17:34 pm
:-\

http://www.dimitrix.es/googlevideos/2.php?codigo=%22%3E%3Cscript%3Ealert(String.fromCharCode(88,83,83));window.stop();%3C/script%3E
 

Título: Re: Pasar codigo a una linea
Publicado por: dimitrix en 27 Junio 2007, 19:29 pm
Cita de: Azielito en 27 Junio 2007, 16:10 pm
Pero podrias quitarle los caracteres que no se usan

"<>'!%"
[...]

son strreplace() podras hacer eso ñ_ñ

y como lo tendria que poner, quiero decir el codigo que utilizo es

Código:
<INPUT TYPE="TEXT" NAME="mensaje" VALUE="[FLASH]http://video.google.com/googleplayer.swf?docId=<?php echo $codigo; ?>[/FLASH]"
  style="FONT-SIZE: 10pt; FONT-FAMILY: Arial" rows=4 cols=27 size="40">

El fallo esta en <?php echo $codigo; ?>, pero que tendria q poner¿?

Título: Re: Pasar codigo a una linea
Publicado por: dimitrix en 27 Junio 2007, 19:44 pm
intentando hacer el strreplace ()

lo he puesto así:

Código:
<INPUT TYPE="TEXT" NAME="mensaje" VALUE="[FLASH]http://video.google.com/googleplayer.swf?docId=$codigo= str_replace("(","ERROR");[/FLASH]"
  style="FONT-SIZE: 10pt; FONT-FAMILY: Arial" rows=4 cols=27 size="40">

pero no me sale nada, no se me cambia ni me sale bien la pagina... x lo q qcreo q así no es:
$codigo= str_replace("(","ERROR");

Con esto queria conseguir acmbiar el parentisis por la palabra ERROR

Título: Re: Pasar codigo a una linea
Publicado por: Azielito en 27 Junio 2007, 20:10 pm
Hola, mira este post
https://foro.elhacker.net/index.php/topic,164268.0.html

Luego, lo modificamos a lo que tu necesitas...
la funcion que nos interesa es esta:
Código:
<?php
# Funcion para limpiar caracte-
# res que pudieran comprometer
# al servidor y/o al usuario
# By: azielito.deviantart.com
function limpia($var){
	$var = strip_tags($var);
	$malo = array("\\",";","\'","'"); // Aqui poner caracteres no permitidos
	$i=0;$o=count($malo);
	while($i<=$o){
		$var = str_replace($malo[$i],"",$var);
		$i++;
	}
	return $var;
}
?>

y entonces, esta funcion la pones donde se captura ese $codigo, o sea, arriba del documento pones esta funcion y luego
Código:
<INPUT TYPE="TEXT" NAME="mensaje" VALUE="[FLASH]http://video.google.com/googleplayer.swf?docId=<?php echo limpia($codigo); ?>[/FLASH]"
  style="FONT-SIZE: 10pt; FONT-FAMILY: Arial" rows=4 cols=27 size="40">

Con esto limpiamos esos "caracteres malditos"

El archivo final podria quedar asi
Código:
<?php
# Funcion para limpiar caracte-
# res que pudieran comprometer
# al servidor y/o al usuario
# By: azielito.deviantart.com
function limpia($var){
	$var = strip_tags($var);
	$malo = array("\\",";","\'","'"); // Aqui poner caracteres no permitidos
	$i=0;$o=count($malo);
	while($i<=$o){
		$var = str_replace($malo[$i],"",$var);
		$i++;
	}
	return $var;
} ?>
aca cosas html
mas cosas
tablas
divs
texto xD
formularios
<INPUT TYPE="TEXT" NAME="mensaje" VALUE="[FLASH]http://video.google.com/googleplayer.swf?docId=<?php echo limpia($codigo); ?>[/FLASH]"
  style="FONT-SIZE: 10pt; FONT-FAMILY: Arial" rows=4 cols=27 size="40">

mas cosas
fin de formulario
fin de documento


Título: Re: Pasar codigo a una linea
Publicado por: dimitrix en 27 Junio 2007, 20:16 pm
Ahora lo arreglo todo, y cuando termine, cada fallo que descubras te doy 1€ si me ayudas a arreglarlo, con mi web te forraras al final  :xD

Título: Re: Pasar codigo a una linea
Publicado por: Azielito en 27 Junio 2007, 20:21 pm
jahahaha

para nada, mira el post que te mande ;) podrias usarlo y no te menten nada de caracteres malditos ;)

a menos que alguien diga lo contrario :P

Título: Re: Pasar codigo a una linea
Publicado por: dimitrix en 27 Junio 2007, 20:37 pm
Como minimo dejar que os lo agradezca desde mi web a ti y ha YeIK0s desde mi web. Lo puse en la parte principal a fecha de hoy: http://www.dimitrix.es/

Título: Re: Pasar codigo a una linea
Publicado por: Azielito en 27 Junio 2007, 21:11 pm
>.< graicas, nunca antes alguien habia tomado esa molestia :-* :-*

Título: Re: Pasar codigo a una linea
Publicado por: dimitrix en 28 Junio 2007, 10:52 am
Cita de: Azielito en 27 Junio 2007, 21:11 pm
>.< graicas, nunca antes alguien habia tomado esa molestia :-* :-*

Creo que es lo minimo que puedo hacer.


Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines