Не отрабатывает htmlspecialchars php?

Question

[pillson]

пытаюсь запретить выполнение скрипта в поле (xss) защита, но что то не отрабатывает
постом принимаю значение поиска htmlspecialchars($_POST['search'], ENT_QUOTES);
но скрипт все равно можно вывести, в чем может быть проблема?

public function actionSearch() {
         if(isset($_POST['search'])){
             $seacrh = htmlspecialchars($_POST['search'], ENT_QUOTES);
         }
         if(isset($_POST['searchMobile'])){
             $seacrh = htmlspecialchars($_POST['searchMobile'], ENT_QUOTES);
         }
         if(isset($_POST['searchFmobile'])){
             $seacrh = htmlspecialchars($_POST['searchFmobile'], ENT_QUOTES);
         }
         if (!empty($seacrh)) { 
            $trimSearch = htmlspecialchars($seacrh, ENT_QUOTES);
            if (strlen($trimSearch) < 3) {
                $text = '<p>Слишком короткий поисковый запрос.</p>';
            } else if (strlen($seacrh) > 50) {
                $text = '<p>Слишком длинный поисковый запрос.</p>';
            } else { 
             $searchFrom = Product::getSearch($trimSearch);
        }    }
        $title = 'Вы искали: ' . $trimSearch . ' - мы кое-что нашли';
        $description = 'Список товаров по запросу ' . $trimSearch;
        require_once (ROOT . '/views/site/search.php');
        return true;
    }

Comments

[Adamos]

Проблема в том, что кто-то верит в телепатов, которые делают анализ ошибок кода без самого кода.

[pillson]

Adamos, так это просо экшн, где я принимаю POST и оборачиваю его в функцию и далее уже отправляю в модель а на клиенте разбираю.

[Adamos]

pillson, это не просто экшн, это не работающий экшн, и вы спрашиваете, почему.
Во-первых, за $seacrh, конечно, нужно пороть.
Во-вторых, лишние символы в ней должны-таки преобразоваться, и на выводе должен быть текст, а не скрипт.

[pillson]

Adamos, Что за бред вы пишите что это неработающий он работает все четко, вопрос только про xss
Опечатка не причем тут
Ну так я и делаю чтобы откусывало все через htmlspecialchars я же переопределяю ее, но скрипт все равно отрабатывает и на выводе после исполнения скрипта идет текст все как положено
Вы наверное не понимаете о чем я говорю. Что я могу вписать

[Adamos]

pillson, тостер, видимо, зарезал то, что вы "можете вписать" ;)
Этот скрипт должен выводить обезвреженный текст. Но, может, у вас ввод не в той кодировке, и функция не отрабатывает. Может, до этой функции стоит кэширование вывода, а после нее - вывод с обратным преобразованием. Вам видней.

[pillson]

Кодировка utf-8 все четко, все везде работает, проблема только в поле input для поиска
кеширования нет, только redis но он тут точно не причем. Данные и уходят чистые в модель и приходят из нее, до модели скрипт отрабатывает

[Adamos]

pillson, ну, потестируйте уже сами. Засуньте в эту функцию вывод в лог $_POST и получившихся переменных - либо поймете, в чем дело, либо убедитесь, что все работает, как надо, и будете искать ошибку снаружи.

[pillson]

Adamos, Засовывал, запрос идет четко, данные post приходят верные, без скрипта и тп, скрипт исполняется до этого момента

Answer 1

[FanatPHP]

скрипт все равно можно вывести

в чем может быть проблема?

Наверное в том, что ты не понимаешь что такое HTML и что делает htmlspecialchars()?
Что, по-твоему, эта функция должна делать, как не выводить твой скрипт? Кидаться на него с кинжалом и криками Аллах Акбар?

Прочти внимательно в документации, что делает эта функция, там все написано, с примерами.
Ну и надо на базовом уровне понимать HTML - что такое теги, сущности, спецсимволы.

Comments

[pillson]

больной чтоли ?

[FanatPHP]

вполне вероятно
если ты считаешь что твои проблемы связаны с какой-то болезнью, то надо обратиться к доктору

Answer 2

[ThunderCat]

Во первых, как заметил Adamos, следите за именованием переменных, $seacrh это конечно сильно...
Во вторых -

но скрипт все равно можно вывести

да, можно вывести, но нельзя выполнить, о чем вам справедливо заметил FanatPHP, почувствуйте разницу.

Вообще, все плохо. Для очистки данных от тегов есть strip_tags(), но вы почему то упорно тупите и не читаете документацию и не пользуетесь поиском из принципа.

Comments

[pillson]

я пробовал strip_tags() не помогло

[ThunderCat]

pillson, да неужели?