Сами напросились – введем «[*]», да побольше. Казалось бы мелочь, зато как приятно:). Аналогично пункту про имя пользователя скажу что тут делать больше нечего. Тут можно от души посмеяться на админом и всеми остальными.

Они решили действовать жестко – обрезать и все. И чем больше спецсимволов Вы замените на их коды тем дольше продержится Ваша гостевая книга. Еще можно перед адресом написать «// « и при наведении указателя мышки на имя пользователя увидим «mailto://». Текст сообщения.

Поверьте, что это не сложно, зато как здорово. Например написано удалить в тексте запрещенные последовательности он их удалит, но не проверит чем это закончится. Когда нам говорят что в тексте не должно быть каких-то символов (например ###) мы ведь несколько раз проверим, а скрипт – один. Здорово, правда? Смотришь записи и сразу вроде и не понимаешь в чем тут дело.

И нет бы просто поменять угловые скобки на коды символов и все хорошо. Оно нам надо, очень надо! Дело в том, что PHP не имеет интеллекта – ему это не надо. Конечно теперь они адрес почты еще и снизу пишут но все-таки. Если еще что-то хочется сделать то пробуйте сами. Итак, как сказал Юрий Гагарин, поехали!Сейчас буду приводить то, что можно сделать с формами при условии что скрипт админ не переписывал.

Теперь для администраторов. Ну и на здоровье! Введем вместо имени пользователя ### или другой разделитель и будем наслаждаться тем, что имя пользователя не будет выводиться.

Сразу поправка – весь код будет обрамляться звездочками - *код*Имя пользователя. ru title=XSS» - теперь когда наведем курсор на имя пользователя на всплывающей справке вместо «Нажмите на имя пользователя для отправки e-mail» мы увидим «XSS» так как код ссылки не *<a href=mailto:1@1. А порядочные люди могут таким образом защищаться от спам-роботов, которые ищут адреса электронной почты. Тоже фигня вылезет, а в некоторых случаях вообще ничего не вылезет. п правила эмо.

Еще хочется? Да запросто! Там есть панель специальных кодов. Все что нельзя вводить будет просто отфильтровано. Он просто делает то, что написано в инструкциях. Так же мы не будем использовать формы отправки данных с другого сайта дабы обойти ограничение на вводимую длину символов.

ruСообщение: [*] [*] [*] [*] [*] [*] [*] [*] [*] [*] [*] [*] [*] [*]Теперь все увидят сообщение в котором ничего нет, да еще и оставил его человек без имени. Будем считать, что эту тему мы закрыли. Снова вернемся к свободе слова, а если быть более точным то не к самой свободе слова, а к тому что нас её лишают.

Как Вы могли видеть в коде файлов, которые хранят сообщения авторы используют разделители ###, [:msg_start:], [:elmail:], [:snd_date:] и [:ip_dev:]. Просто в поля, которые нам предоставляются для заполнения будем вводить всякую фигню, которую просто не предусмотрели. А нам больше ничего не надо.

E-mail. ru title=XSS title=« Нажмите на имя пользователя для отправки e-mail»>*. С адресом почты это пожалуй все: во-первых по умолчанию можно вводить только 25 символов, а во-вторых угловые скобки благополучно фильтруются отсюда вывод напрашивается сам – тут нам делать больше нечего. ru title=« Нажмите на имя пользователя для отправки e-mail»>*, а *<a href=mailto:1@1. Все атаки будут законными – никаких обманов, взломов и т срочный ремонт холодильников vestfrost BKF 385 Е40.

В заключении я приведу данные, которые надо ввести во все формы дабы иметь возможность от души посмеяться над админом гостевухи:Имя пользователя: ###Почта: //1@1. Дело в том, что по абсолютно непонятным мне причинам авторы нарушили свободу слова пользователей и тут же за это поплатились. А если #[:msg_start:]#[:msg_start:]#? Не знаете что останется? А я знаю! Останется ### и скрипт это не отфильтрует так как он это уже фильтровал и теперь полагает что выполнил все, что от него требовалось! Благодаря этому тело записи, которая будет оставлена в файле, который для этого предназначен, будет нарушен и никто об этом не узнает, а вот когда пользователь посмотрит чужие записи все и всплывет! Введем это побольше и получим загаженную гостевую книгу, с чисткой которой админ будет очень долго мучиться и, что самое главное, в ручном режиме так как из-за такой последовательности символов из админки её не почистишь. Да здравствуют десять тысяч символов и никаких ограничений! Тут можно вводить все, главное чтобы в пределах отведенного нам для этого места. И это здорово! Если мы введем ### скрипт это обрежет, если [:msg_start:] скрипт и это обрежет.

Рябинин "stalker37" Александр. Если Вы не хотите, чтобы Ваша гостевая книга была атакована таким образом то замените фильтрацию выражений на их коды и, какой бы странностью это не казалось, побольше ограничивайте пользователей в том, что они вводят.

Вводим что-то типа «1@1. Сразу скажу – атаки достаточно примитивные, но если хочется кому-то (например админу некого сайта) подпортить жизнь – в самый раз:) заказать бетон Новокосино бетон заказ Новокосино получается великолепнейший заказ бетона. Можно использовать специальные символы, которые есть в таблице символов для конверсии имени пользователя в коды символов – сделай гадость быстро!Можно еще много чего написать, но это уже будет сводиться ко всяким вариациям вышеперечисленного поэтому тут нет ничего интересного.