![Quote](images/misc/portal/quote_icon.png)
Originally Posted by
ditatompel
@bloodiez
om klo nangkal xss gitu gimana si??
kan ni gw pake lempar location nya ke pesan 'err'
trus kalo semisal gw kasih location ke link
jadi
header(location: link.php)
jd kan yang form diisi salah bakalan di lempar ke link.php
apa klo gini masih bisa kena xss???
ato ada cara lain ya om??
jgn dilempar tapi difilter, cara filterny bisa variasi contoh klo km mau filter input user dibagian search
Code:
$query = $_POST["searchQuery"];
$query_tampil = htmlentities($query);
echo $query_tampil;
itu cm salah satu cara,. trus wat yg sqli salah satunya filter karakter "bahaya" yg bisa jadi input:
Code:
function cleanQuery($string)
{
if(get_magic_quotes_gpc()) // menghindari duplikasi backslash
{
$string = stripslashes($string);
}
if (phpversion() >= '4.3.0')
{
$string = mysql_real_escape_string($string);
}
else
{
$string = mysql_escape_string($string);
}
return $string;
}
// jika anda menggunakan form data, bisa gunakan fungsi seperti ini:
if (isset($_POST['itemID'])) $itemID = cleanQuery($_POST['itemID']);
// anda juga bisa memfiltrasi data sebagai bagian dari query:
SELECT * FROM items WHERE itemID = '". cleanQuery($itemID)." ' "
![Quote](images/misc/portal/quote_icon.png)
Originally Posted by
Kurt.D.Cobain
yup itu kena xss ada 2 path yg kena klo ane cek, mngkn bs lebih,. lom crawling lagi
http://www.transtv.co.id/200706/prog...B%3C/ScRiPt%3E
satu lagi di http://www.transtv.co.id/200706/sino...1=OK%2C%20Join...
2 file programs.asp ma sinopsispers utk variabel day_opt ma namaperusahaan lom difilter,.
Share This Thread