"PHP" / Говнокод #23726 Ссылка на оригинал

0

  1. 1
  2. 2
  3. 3
  4. 4
  5. 5
  6. 6
  7. 7
  8. 8
  9. 9
  10. 10
  11. 11
  12. 12
  13. 13
  14. 14
  15. 15
  16. 16
  17. 17
  18. 18
  19. 19
  20. 20
  21. 21
  22. 22
  23. 23
<?php

$user_data = array(
    'name' => 'Vasya',
    //'comment' => 'Hello, <p>Some HTML</p>', // GOOD
    'comment' => '<!--<script>', // BAD
);

?>

<!DOCTYPE html>
<html>
    <head></head>
    <body>
        <script>
            var data = <?php echo json_encode($user_data); ?>;

            window.onload = function () {
                document.body.appendChild(document.createTextNode(data.name + " says: " + data.comment));
            };
        </script>
    </body>
</html>

https://habrahabr.ru/post/348558/

Интересная херотень.
Кто сможет подобрать строку, чтобы выполнить произвольный код?

Запостил: 3_dar 3_dar, (Updated )

Комментарии (11) RSS

  • ava SemaReal # Ссылка на оригинал 0

    Божемой, люди до сих пор не осилили нормальный эскейпинг при выводе в HTML
    Ответить

  • ava SemaReal # Ссылка на оригинал 0

    ну правда, вдумайтесь: Маск в космос летает, а люди на седьмом десятке существования программирования плутают буквально в двух байтах и не могут нормаль экскейпнуть данные для передачи их через канал где запрещены < и >.

    Причем эту проблему (ну вернее похожую) решали (и решили!) еще во времена ююков (uuencode) -- то-есть тридцать лет назад. И, блядь, снова здорова
    Ответить

    • ava g0_1494089131830 # Ссылка на оригинал 0

      ебливый пасс в москве угостит анусом, армяне чечены даги азеры - велкам! встреча на любой территории, бдсм амуницию ношу с собой, любые желания за твои деньги! пиши прямо сейчас wiistriker@gmail.com антон ЖДУ
      Ответить

Добавить комментарий

Переведи на "PHP", guest!

    А не использовать ли нам bbcode?

    8