espressioni regolari

Ciao dovrei intercettare quando uno scrive
ad esempio

Codice PHP:

<script>
alert("ciao");
</script>


o qualsiasi cosa che inizi per < e termini per >
sono riuscito a fare questo

Codice PHP:

/^(a-zA-Z0-9)+(a-zA-Z0-9)+(a-zA-Z0-9)/


[programmazioned]

A cosa ti serve? Te lo chiedo perchè potrebbero esserci funzioni che ti risparmierebbero il lavoro, tipo strip_tags().

Per l'espressione regolare, comunque, .* sta ad indicare qualsiasi cosa, tranne il newline.
Puoi aggiungere \n ai caratteri riconosciuti attraverso il modificatore di criterio s:

Codice PHP:

preg_match('#<(.*)>#s', $stringa, $trovati)


Ciao!

questo e il codice che sto usando

Codice PHP:

<?php
$controllo="(\<(/?[^\>]+)\>)";
foreach($_GET as $key => $value){
if($_GET[$key] == $controllo){
die("Errore Via Get…");
}}
foreach($_POST as $key => $value){
if($_POST[$key] == $controllo){
die("Errore Via Post…");
}}
echo "ciao";
?>

dovrei controllare i valori sia via post e get in caso che si trova una cosa del
genere

Codice PHP:

<script>
alert("ciao");
</script>


dovrebbe stampare errore pero non funziona...

[programmazioned]

Non ti funziona perchè non è in quel modo che si usano le espressioni regolari: preg_match().

Codice PHP:

if(preg_match($controllo, $_GET[$key])){


Ciao!

P.S: Invece di fare un foreach su $_GET e $_POST, potresti operare sulla stringa restituita da implode() ;)

mi potresti postare come secondo te deve essere per vedere se qualcuno non sta cercando di fare un attacco via xss e SQL injection
sia via post che get..^^

ragazzi con ce più il tasto edit..
sapete darmi una mano ho provato ma niente...

[dementialsite]

mi potresti postare come secondo te deve essere per vedere se qualcuno non sta cercando di fare un attacco via xss e SQL injection
sia via post che get..^^

Non è che ci sia una risposta, perché molto dipende da come stai strutturando il tuo script.

La regola generale è: prima di stampare qualsiasi cosa ti venga dall'esterno (sulla quale non hai controllo), devi controllare i dati.

Ti possono essere utili due funzioncine PHP:
- htmlentities (traduce i tag HTML in modo da visualizzarli sullo schermo, senza che questi abbiano effetto)
- mysql_real_escape_string (traduce le stringhe in modo che tu le possa usare in modo sicuro nella scrittura di una query)

Naturalmente, per utilizzarle devi avvolgere i tuoi oggetti "sospetti" prima di utilizzarli per concatenarli al resto del codice HTML o della query che ti serve...

Stammi bene...

no io vorrei solo fare se qualcuno....
sta cercando di fare un attacco xss o sql injection...

<?php
$controllo="(\<(/?[^\>]+)\>)";
foreach($_GET as $key => $value){
if($_GET[$key] == $controllo){
die("Errore Via Get…");
}}
foreach($_POST as $key => $value){
if($_POST[$key] == $controllo){
die("Errore Via Post…");
}}
echo "ciao";
?>

stampi errore in base a quale e
pensi sia possibile

E' possibile, ma se fai finta di non aver capito quello scritto da programmazioned...

Codice PHP:

<?php
$controllo="/(\<(/?[^\>]+)\>)/i";
foreach($_GET as $key => $value){
if(preg_match($controllo, $_GET[$key]){
die("Errore Via Get…");
}}
foreach($_POST as $key => $value){
if(preg_match($controllo, $_GET[$key]){
die("Errore Via Post…");
}}
echo "ciao";
?>

Non ho provato comunque sia dovrebbe funzionare

P.s. Che brutto errore correggo subito il codice, scusatemi

non non avevo capito bene
errore lo da lo stesso anche se metto
isa.php?ssa

invece io voglio che da errore solo se usa
i caratteri
< >
tipo
<script>

<?php
$controllo="/(\<(/?[^\>]+)\>)/i";
foreach($_GET as $key => $value){
if(!preg_match($controllo, $_GET[$key])){
die("Errore Via Get…");
}}
foreach($_POST as $key => $value){
if(!preg_match($controllo, $_POST[$key])){
die("Errore Via Post…");
}}
echo "ciao";
?>

[programmazioned]

Togli i ! davanti a preg_match.

Ciao!

ho provato ma non funziona...
non mi da errore get ^^