subasioguz Arkadaşlar merhaba Laravel de bazı güvenlik sorunları yaşıyorum. Arama yaptırdığım değişkene çeşitli kodlar eklenebiliyor. strip_tags, purifier fln işe yaramadı. Eklenen kodlar <script src="//ajax.googleapis.com/ajax/libs/angularjs/1.6.0/angular.min.js"></script>{{0[a='constructor'][a]('alert(document.cookie)')()}} %7B%7Bconstructor.constructor%28%27alert%281%29%27%29%28%29%7D%7D Bunlar parametre olarak gönderilince alert veriyor sayfa. Yardımlarınızı bekliyorum.
subasioguz arama?q=<script src="//ajax.googleapis.com/ajax/libs/angularjs/1.6.0/angular.min.js"></script>{{0[a='constructor'][a]('alert(document.cookie)')()}} Bu tarz bir sorguda pencere alert veriyor. Bunları engellemek istiyorum. Ayrıca ben bu aranan kelimeleri veritabanında tutuyorum. Oda ayrı bir problem zaten.
Roni Nasıl bir arama algoritması kurmuşsunuz aranan bulunmuyorsa neden script devreye girsin ki. illa aranan bulunmadı diye mesaj verecekseniz echo htmlspecialchars(urldecode($arama)); deneyin.
subasioguz Hayır hocam alakası yok. Algoritma falan yok bildiğiniz where like yani başka bişe yok. Sadece gelen veriyi temizleyemiyorum.
mgsmus Ekrana yazdırırken htmlspecialchars ile yazdırmalısınız. Bunun için Laravel'de e() yardımcı fonksiyonu var. Blade şablonlarında ise {{ }} içinde yazdırıyorsunuz. Eğer alert alıyorsanız bir yerde htmlspecialchars kullanılmıyor demektir.
