Usamos cookies para medir audiência e melhorar sua experiência. Você pode aceitar ou recusar a qualquer momento. Veja sobre o iMasters.
Olá, amigos!!
Criei o site http://theimageup.com e agora penso em disponibilizar as APIs. Mas antes preciso criá-las.
Para o usuário hospedar suas imagens, ele precisa se cadastrar e logar.
Podem me ajudar? Não sei por onde começar :)
Putz, amigo, não fazia ideia disso. Como resolvo?
A um tempinho atrás eles estavam discutindo em um tópico as melhores formas de previnir xss, phpinjection, essas coisas, se quiser dar uma olhada nos códigos:
Espero que consigo arrumar, qualquer coisa, me dá um toque, que eu te ajudo.
E sobre a API, eu também não tenho a minima idéia. :x
Fiz assim http://www.oficinadanet.com.br/artigo/1257/php_injection_como_prever, mas não adiantou nada :(
$busca = strip_tags($_GET['consulta']);
Bem amigo, andei olhando o site, e achei uma falha que pode ser mortal, estou falando de xss.
http://theimageup.com/busca.php?consulta=%27%3B%3CSCRIPT%3Ealert%28String.fromCharCode%2888%2C83%2C83%29%29%3C%2FSCRIPT%3E
Isso irá alertar "XSS".
E isso pode ser usado para fazer um worm, hospedar imagens sem que você perceba, acho que você entende os riscos do XSS.
Então acho que seria bom você arrumar o erro o mais rápido possivel, vi que você está escapando aspas, mais isso não irá previnir totalmente, seria melhor escapar todas as palavras que poderiam ser usadas para o "mal", a um tempo atrás tinha um tópico onde eles estavam discutindo sobre o melhor modo de previnir php injection, xss, essas coisas, se eu achar, eu edito aqui com o link.
<script SRC=worm/qualquer coisa do tipo></SCRIPT>
Abraços.