nookie
I did it all for the nookie
Hallo liebe Community,
ich habe mir ein kleines Script zum Abfangen von XSS, MySQLi, usw. Attacken gebaut. Funktioniert auch eig. aber NUR wenn ich das ganze in einer Funktion abarbeite und dann nach einem Wahrheitswert prüfe. Es soll folgendes OHNE Funktion passieren. "<script>alert(xss);</script>" wird z.B. eingetippt und der entsprechende User wird auf Seite XY weitergeleitet bzw. ein Error wird ausgegeben. Funktioniert aber irgendwie nicht.
Beispiel: index.php?site=<script>alert(xss);</script>
Funktion zum ausgeben von Error:
ich habe mir ein kleines Script zum Abfangen von XSS, MySQLi, usw. Attacken gebaut. Funktioniert auch eig. aber NUR wenn ich das ganze in einer Funktion abarbeite und dann nach einem Wahrheitswert prüfe. Es soll folgendes OHNE Funktion passieren. "<script>alert(xss);</script>" wird z.B. eingetippt und der entsprechende User wird auf Seite XY weitergeleitet bzw. ein Error wird ausgegeben. Funktioniert aber irgendwie nicht.
Beispiel: index.php?site=<script>alert(xss);</script>
PHP:
$site = $_GET['site'];
if(isset($site)) {
$request = strtolower(urldecode($_SERVER['QUERY_STRING']));
$disallow = array("union","select","from","where","into","and","/*","*/","<",">","ascii",
"substring","script","alert","xss","root","telnet",
"cmd","passwd","exec","fopen","fwrite","javascript",
"mysql","perl","perl","chdir","root","phpinfo",
"system","shell_exec","table");
$check = str_replace($disallow, "*",$request);
if($request != $check) { return true; error_message("Hackangriff."); }
}
Funktion zum ausgeben von Error:
PHP:
function error_message($text) {
die('<!DOCTYPE html>
<html>
<head>
<title></title>
</head>
<body>
<span color="red">' . $text . '</span>
</body>
</html>');
}
Zuletzt bearbeitet: