<title> -- тоже валидная конструкция, как и <script>js XXS js-код</script>

Misha v.3 14.08.2010 03:50

парсер запрещает вывод не НЕвалидных конструкций, а конструкций, введённых пользователем. "языки" лишь говорят _как_ он их запрещает в каждом случае (он их не выкидывает, а преобразовывает).

тот-же '&' не трогается при отдаче его sql серверу.

P.S. про ваш случай с шаблоном я вообще не понял. если вы его написали сами, то там не будет делаться никаких замен. если вы его грузите из файла и вы знаете что там написанный вами шаблон -- то просто "пометьте" его весь как as-is.

Предложение разработчикам. По поводу taint/untaint, erkin 13.08.2010 19:16
- Ответ, G_Z [M] 16.08.2010 05:13 / 16.08.2010 05:18
  - Ответ, erkin 16.08.2010 12:17
- Переходите на utf-8 и не будет никаких проблем..., Sumo [M] 13.08.2010 19:40
  - Ответ, erkin 13.08.2010 22:18
    - Ответ, max_rip 14.08.2010 17:03
    - <title> -- тоже валидная конструкция, как и <script>js XXS js-код</script>, Misha v.3 [M] 14.08.2010 03:50
      - Ответ, erkin 14.08.2010 13:51
        Забацай себе операторы как вариант..., Newbie 14.08.2010 21:47 / 14.08.2010 21:47
        моё мнение: вы не очень хорошо разобрались в предназначении taint-инга и как это работает., Misha v.3 [M] 14.08.2010 15:42
    - Еще раз, " " - это не символ, а таинт эскейпит именно символы., Sumo [M] 13.08.2010 22:38
      - Ответ, erkin 14.08.2010 13:32

Новости	FAQ	Авторы	Документация	В действии	Библиотека
Инструменты	Полезные ссылки	Хостинги	Скачать	Примеры	Форум