مرجع کاراکترهای مخرب مانند x0A \xFF %00

phpweb · Apr 4, 2011

من دارم روی یه تابع امنیتی که بتونه جلوی کاراکترهای مخرب رو بگیره کار می کنم. من دنبال لیست کامل کاراکترهای مخرب می گردم. خوشحال می شم کاراکترهای مخربی که باعث اخلال در کار سایت می شن رو معرفی کنید.

من یه کاراکترهای مخربی که پیدا رو در ادامه قرار می دم. لطفا این لیست رو کامل کنید.

HTML:

\x0A   \xFF   %00    \0

لازم به ذکر هست که من متا کاراکترهای موجود بر روی کیبوردها رو توی لیست خودم قرار ندادم.

P.H.P · Apr 4, 2011

کد:

\x01\x02\x03\x04\x05\x06\x07\x08\x09\x0a\x0b\x0c\x0d\x0e\x0f\x10\x11\x12\x1 3\x14\x15\x16\x17\x18\x19\x1a\x1b\x1c\x1d\x1e\x1f\x20\x21\x22\x23\x24\x25\x2 6\x27\x28\x29\x2a\x2b\x2c\x2d\x2e\x2f\x30\x31\x32\x33\x34\x35\x36\x37\x38\x3 9\x3a\x3b\x3c\x3d\x3e\x3f\x40\x41\x42\x43\x44\x45\x46\x47\x48\x49\x4a\x4b\x4 c\x4d\x4e\x4f\x50\x51\x52\x53\x54\x55\x56\x57\x58\x59\x5a\x5b\x5c\x5d\x5e\x5 f\x60\x61\x62\x63\x64\x65\x66\x67\x68\x69\x6a\x6b\x6c\x6d\x6e\x6f\x70\x71\x7 2\x73\x74\x75\x76\x77\x78\x79\x7a\x7b\x7c\x7d\x7e\x7f\x80\x81\x82\x83\x84\x8 5\x86\x87\x88\x89\x8a\x8b\x8c\x8d\x8e\x8f\x90\x91\x92\x93\x94\x95\x96\x97\x9 8\x99\x9a\x9b\x9c\x9d\x9e\x9f\xa0\xa1\xa2\xa3\xa4\xa5\xa6\xa7\xa8\xa9\xaa\xa b\xac\xad\xae\xaf\xb0\xb1\xb2\xb3\xb4\xb5\xb6\xb7\xb8\xb9\xba\xbb\xbc\xbd\xb e\xbf\xc0\xc1\xc2\xc3\xc4\xc5\xc6\xc7\xc8\xc9\xca\xcb\xcc\xcd\xce\xcf\xd0\xd 1\xd2\xd3\xd4\xd5\xd6\xd7\xd8\xd9\xda\xdb\xdc\xdd\xde\xdf\xe0\xe1\xe2\xe3\xe 4\xe5\xe6\xe7\xe8\xe9\xea\xeb\xec\xed\xee\xef\xf0\xf1\xf2\xf3\xf4\xf5\xf6\xf 7\xf8\xf9\xfa\xfb\xfc\xfd\xfe\xff

http://seclists.org/basics/2011/Mar/79

phpweb · Apr 4, 2011

P.H.P گفت:

کد:

\x01\x02\x03\x04\x05\x06\x07\x08\x09\x0a\x0b\x0c\x0d\x0e\x0f\x10\x11\x12\x1 3\x14\x15\x16\x17\x18\x19\x1a\x1b\x1c\x1d\x1e\x1f\x20\x21\x22\x23\x24\x25\x2 6\x27\x28\x29\x2a\x2b\x2c\x2d\x2e\x2f\x30\x31\x32\x33\x34\x35\x36\x37\x38\x3 9\x3a\x3b\x3c\x3d\x3e\x3f\x40\x41\x42\x43\x44\x45\x46\x47\x48\x49\x4a\x4b\x4 c\x4d\x4e\x4f\x50\x51\x52\x53\x54\x55\x56\x57\x58\x59\x5a\x5b\x5c\x5d\x5e\x5 f\x60\x61\x62\x63\x64\x65\x66\x67\x68\x69\x6a\x6b\x6c\x6d\x6e\x6f\x70\x71\x7 2\x73\x74\x75\x76\x77\x78\x79\x7a\x7b\x7c\x7d\x7e\x7f\x80\x81\x82\x83\x84\x8 5\x86\x87\x88\x89\x8a\x8b\x8c\x8d\x8e\x8f\x90\x91\x92\x93\x94\x95\x96\x97\x9 8\x99\x9a\x9b\x9c\x9d\x9e\x9f\xa0\xa1\xa2\xa3\xa4\xa5\xa6\xa7\xa8\xa9\xaa\xa b\xac\xad\xae\xaf\xb0\xb1\xb2\xb3\xb4\xb5\xb6\xb7\xb8\xb9\xba\xbb\xbc\xbd\xb e\xbf\xc0\xc1\xc2\xc3\xc4\xc5\xc6\xc7\xc8\xc9\xca\xcb\xcc\xcd\xce\xcf\xd0\xd 1\xd2\xd3\xd4\xd5\xd6\xd7\xd8\xd9\xda\xdb\xdc\xdd\xde\xdf\xe0\xe1\xe2\xe3\xe 4\xe5\xe6\xe7\xe8\xe9\xea\xeb\xec\xed\xee\xef\xf0\xf1\xf2\xf3\xf4\xf5\xf6\xf 7\xf8\xf9\xfa\xfb\xfc\xfd\xfe\xff

مرسی از لیست شما. :wink:

من فکر نمی کردم که توی HTML و سایر زبانها این همه کاراکتر (بهتر بگیم رشته) خاص وجود داره.

ظاهرا برای نوشتن کد امنیتی فقط کافیه که دنبال رشته x\ بگردیم.

اگر مطلب کاراکترهای جدیدی پیدا کردید، لطفا برام بفرستید تا بتونم لیستم رو تکمیل کنم.

P.H.P · Apr 4, 2011

برای حذف کاراکتر های غیر اسکی از رشته میتونید از کد زیر استفاده کنید.

PHP:

preg_replace('/[^(\x20-\x7F)\x0A]*/','', $string)

استفاده از iconv هم میتونه این اصلاحات رو انجام بده

موفق

phpweb · Apr 5, 2011

P.H.P گفت:
برای حذف کاراکتر های غیر اسکی از رشته میتونید از کد زیر استفاده کنید.

PHP:

preg_replace('/[^(\x20-\x7F)\x0A]*/','', $string)

استفاده از iconv هم میتونه این اصلاحات رو انجام بده

موفق

تابع addslashes یادم رفته بود، مگه تابع ساده خودمون addslashes نمی تونه همه این مقدایر رو اسکیپ کنه؟

لطفا در مورد iconv یه توضیح بدید چون برام جدید هست.

هنوز هم کاراکتری هست که کاربرد مخربی داشته باشه؟ لطفا لیست رو تکمیل کنید.

P.H.P · Apr 5, 2011

PHP:

iconv("UTF-8", "ISO-8859-1", $string)

http://php.net/manual/en/function.iconv.php

phpweb · Apr 5, 2011

P.H.P گفت:
PHP:

iconv("UTF-8", "ISO-8859-1", $string)

راستش انگلیسیم زیاد خوب نیست ولی متوجه شدم که این تابع کاراکتر ست مقادیر ورودی رو عوض می کنه ولی دلیل این کار رو متوجه نشدم.

لطفا یه توضیح در مورد دلیل این کار بدید.

سوال دوم اینکه تابع addslashes نمی تونه همه این مقادیر
\x0c\x0d\x0e\x0f رو اسکیپ کنه؟