XSS в адресной строке

[timoshenkov]

Расскажите как правильно определить такую ситуацию

если вводится на сайте
http://mysite.ru/admin.php?/"><script>alert(1)</script><
то я правильно отфильтровываю JS

если вводят
http://mysite.ru/admin.php/"><script>alert(1)</script><
то строка /"><script>alert(1)</script>< проходит мимо фильтров

при втором варианте GET пустой например
как понять и определить что вводят не правельный адрес?

спасибо.

PS функции чистки от XSS уже есть и работают прекрасно, вот только обнаружил рудновыясняемый способ подстановки JS скрипта

 

[timoshenkov]

Во втором посте есть функция, которая спасет отца русской демократии, в погоне за секьюрностью http://mysite.ru/

к чему её применить вот только
мне кажется что дело может в Apache и его настройках, а не в PHP в этой ситуации

 

[Фанат]

Строго говоря, веб-сервер не имеет никакого отношения ни к SQL-инъекциям, ни к подбору паролей, ни - как можно догадаться - к XSS.

Теоретически, конечно, можно сделать так, чтобы веб-сервер отлавливал все подозрительные запросы автоматом. Как это делает популярный патч Сухосина.

Но по-хорошему - надо бы править код.

Проверять все переменные, начинающиеся с HTTP на вредную бяку.
И выдавать ошибку при нахождении оной.
Я так думаю.

 

[Вурдалак]

Фанат, ты прямо удивил. Оставил в мусорке весьма полезные наводящие вопросы того же zerkms'а, упомянул в хорошем свете (как мне показалось) патч Сухосина, предложил проверять переменные. Не жалеешь ты автора темы: так дурачком и останется.

 

[fixxxer]

ничегонепонял

 

[С.]

ПосмотринаURLуТСивсепоймешь

 

[fixxxer]

не, я про вынос содержательной части в мусорку