Trondster Skrevet 14. juli 2011 Skrevet 14. juli 2011 https://www.diskusjon.no/index.php?showtopic=1358477&st=0#entry18017878 Mye manglende escaping av spesialtegn - gjør at man kan sette inn fientligsinnet javascript med mer. BørSkal rettes.
Bolson Skrevet 14. juli 2011 Skrevet 14. juli 2011 Ikke bare skal! Hos oss ville et demonettsted bli tatt av lufta om vi fant manglende escaping som kunne gjøre det mulig med farlig kode til feilene var rettet og koden verifisert. I alle fall på en deom som er såpass offentlig.
Terje Skrevet 14. juli 2011 Skrevet 14. juli 2011 Takk for tipset, rettet! Kjørte strip_tags på alle felter i opplastingsprosessen (derfor "<" forsvant), men gikk over til htmlspecialchars og urlencode nå
Anbefalte innlegg