Forbidden error bij reageren op forumtopic ?!
---
Forbidden
You don't have permission to access /forum/reply/97379/ on this server.
Apache Server at www.phphulp.nl Port 80
lolwut?
En vervolgens lukt dit om 1 of andere reden dan toch ?
Maar dan:
Forbidden
You don't have permission to access /forum/topic/variabelen-onthouden/699977/wijzigen/ on this server.
Apache Server at www.phphulp.nl Port 80
:(
Vreemdgenoeg kan ik hier wel een topic plaatsen/wijzigen.
What is going on?
Toevoeging op 05/03/2015 14:56:48:
Als ik op deze plaats mijn oorspronkelijke tekst knip en plak heb ik precies hetzelfde probleem, maar als ik deze tekst helemaal uittyp werkt het wel? Waarom werkte dat dan de eerste keer niet? -_-
EDIT: LOOOOOOOOOOOL, ik ben er uit, als je de volgende passage op 1 regel zet:
1 OR 1 [=] 1
(zonder [] dan he)
Dan krijg ik een forbidden error.
Sorry, maar wat is dat voor debiele beveiliging middels een blacklist? Dit forum escaped hopelijk toch wel output (zowel bij afdrukken op de site als bij een insert/update in de database)?
AYYY LMAO
EDIT: het probleem lijkt breder, ik had zojuist de volgende SQL in lopende tekst zitten (zonder de deelstreepjes):
I-N-S-E-R-T I-N-T-O table (a,b,c) V-A-L-U-E-S (1,2,3), (4,5,6), ..., (7,8,9)
Ik krijg weer een Forbidden error. En bij andere varianten van de bovenstaande query wordt mijn tekst gewoon afgekapt? Ahaha.
Really, WTF.
Gewijzigd op 05/03/2015 23:45:35 door Thomas van den Heuvel
Het verdween toen ik een stukje over D R O P T A B L E had verwijderd.
Lijkt me inderdaad niet de juiste aanpak.
Toevoeging op 15/03/2015 14:23:46:
En nog een.
Toevoeging op 15/03/2015 14:54:24:
En nog een.
Code (php)
1
<a href="java script:void(0)">w00t</a>
Lopende tekst en code blokken hebben blijkbaar verschillende blacklists.
G fucking G.
Gewijzigd op 21/03/2015 16:49:54 door Thomas van den Heuvel
Ook het teken = in lopende tekst lijkt problematisch... Script gaat op zijn bek als ik in bovenstaande tekst is vervang door het teken =.
I mean. Really?
Gewijzigd op 24/03/2015 14:57:18 door Thomas van den Heuvel
Code (php)
1
2
2
SELECT CON CAT(var1, '-', var2)
FROM whatever
FROM whatever
...
Code (php)
1
2
3
4
5
6
7
2
3
4
5
6
7
<?php
// nope
$whee = $db->query(
"SELECT CON CAT(var1, '-', var2)
FROM whatever"
);
?>
// nope
$whee = $db->query(
"SELECT CON CAT(var1, '-', var2)
FROM whatever"
);
?>
Gewijzigd op 03/04/2015 12:33:30 door Thomas van den Heuvel
Hoe kan ik m´n vraag nou duidelijk uitleggen, als code een forbidden-melding geeft?
En waarom zie ik anderen wel code uploaden en lukt het mij niet?
Hierboven staan al een aantal gevallen beschreven in welke context (codeblok, lopende tekst) welke content verboden is.
De "truuk" is meestal het isoleren van het tekst- of code-deel wat voor problemen zorgt, en hier dan omheen te zeilen door bijvoorbeeld een spatie toe te voegen in de "verboden passage".
Maar goed, deze controles zijn natuurlijk complete bullshit. Het is de verkeerde manier om dingen "veilig" te maken.
Gewijzigd op 06/04/2015 20:14:51 door Thomas van den Heuvel
Dit topic is gesloten.