как найти на сайте дырку xss

[sergey24]

Меня какой-то дятел задолбал уже
к конфигу прикрутил учет запросов
function sfilter_xss()
{ global $_POST, $_GET;
$p = '';
$g = '';
foreach($_POST as $key => $value) {
$p.=$key."[".$value."] ";
}

foreach($_GET as $key => $value) {
$g.=$key."[".$value."] ";
}

foreach($_COOKIE as $key => $value) {
$g.='cooc '.$key."[".$value."] ";
}
if(preg_match("/script/i",$p) or preg_match("/iframe/i",$p) or preg_match("/script/i",$g) or preg_match("/iframe/i",$g) or preg_match("/bazakomp/i",$g) or preg_match("/%73%63%72%69%70%74/i",$g) or preg_match("/%73%63%72%69%70%74/i",$p) or preg_match("/</i",$g) or preg_match("/</i",$p) or preg_match("/%3C/i",$g) or preg_match("/%3C/i",$p))
{

if (getenv('HTTP_X_REAL_IP'))
{
$ip=getenv('HTTP_X_REAL_IP');
}
else
{
$ip=getenv('REMOTE_ADDR');
}
$page_xss=$_SERVER["HTTP_HOST"].$_SERVER["REQUEST_URI"];


$add_xss='INSERT INTO xss (date,ip,url,post,get) VALUES ( NOW(),"'.$ip.'","'.htmlspecialchars($page_xss).'", "'.htmlspecialchars($p).'","'.htmlspecialchars($g).'") ';
mysql_query($add_xss) or die (mysql_error());
}

}
sfilter_xss();

он как-то умудряется его обходить

вставляет в поле таблицы вставку js с ссылкой на вирус

 

[baev]

sergey24, столько лет на форуме и не в курсе, что код надо оформлять?

 

[zerkms]

Потому что вместо того, чтобы бездумно применять набор всех функций подряд ко всем суперглобалам - нужно применять только к тем данным, которые выводятся на страницу.

А вообще мало вам xss, по-хорошему ещё бы sql инъекцию наковырять (а она полюбому есть), чтобы уроком было

 

[fixxxer]

инъекций до жопы. через X-Real-Ip ваще гарантированная если он не перебивается конечно