Парсер и уязвимости

@Htext · Регистрация: 08.01.2015

Студворк — интернет-сервис помощи студентам

Вопрос такой: а что, если в спарсенном коде html будут некие уязвимости, которые могут нехорошо отразиться на сервере? Например, сделать что-то на сервере средствами РНР/perl.
Как бороться с этим? Если фильтровать/вырезать - то что именно?

@Jodah · 10.02.2022, 02:38

Сообщение от Htext

сделать что-то на сервере средствами РНР/perl

В HTML коде PHP уязвимости?

Сообщение от Htext

Если фильтровать/вырезать - то что именно?

А что именно вы парсите?

@Htext · 10.02.2022, 08:30 **[ТС]**

Сообщение от Jodah

В HTML коде PHP уязвимости?

Ну, например что-то типа

HTML5
1
<? bad code ?>

Мало, ли что еще. Поэтому и спрашиваю.

Сообщение от Jodah

А что именно вы парсите?

~~Например, Каспаров, Сталинград, т.д.~~ Конечно же, сайты типа rambler.ru и т.п.

@Jodah · 10.02.2022, 09:41

Сообщение от Htext

Ну, например что-то типа

Такой код выполнится только если вы сами его запустите через include/require/eval. Разумеется, делать этого нельзя.

Сообщение от Htext

Мало, ли что еще.

Допустим, вы взяли откуда-то строку с нехорошим кодом. Как она может повлиять на сервер? Только если вы её запустите как PHP код.

Это если о серверной стороне говорить.

@Htext · 10.02.2022, 16:36 **[ТС]**

Сообщение от Jodah

Только если вы её запустите как PHP код.

Так-то да. Насколько я понял, парсер на выходе выдаст всего лишь строку, которую, чтобы она заработала как код РНР, потребуется вначале "оживить" при помощи eval или т.д.
Вот сейчас попробовал

PHP
1
2
3
4
5
$secret = 'token';
$html = '<html><body>$secret</body></html>';
file_put_contents('1.txt', $html);
$html = file_get_contents('1.txt'); // Читается из файла строка <html><body>$secret</body></html>
echo $html;

В браузер выводится именно эта строка, значение переменной $secret не подставляется.

Просто мало ли, вдруг на сервере или магический режим какой-нибудь будет случайно включен, или что-то типа него.

Добавлено через 10 минут

Не по теме:

А то у меня был недавно нюанс. Функция preg_replace, там делалась замена при вставке комментария в тело контента страницы. Все бы ничего, но однажды один комментатор, вводя программный код, ввел (на языке С++) что-то вроде x = 1; \\0. В итоге, так как \0 - это полный шаблон для регулярного выражения, замена сделалась не так, как ожидалось. Пришлось специально экранировать вхождения подобных подстрок.

@Htext · 11.02.2022, 11:10 **[ТС]**

А вот если этот файл сохранить на сервере и обратиться к нему по ссылке - тогда могут быть иные последствия.

@Jodah · 11.02.2022, 14:06

Htext, зависит от расширения файла. А так да, поэтому все подобные вещи должны находиться за пределами публичной части сайта.

Новые блоги и статьи Все статьи Все блоги /
Советы по крайней бережливости. Внимание, это ОЧЕНЬ длинный пост. Programma_Boinc 28.12.2025 Советы по крайней бережливости. Внимание, это ОЧЕНЬ длинный пост. Налог на собак: https:/ / ********/ gallery/ V06K53e Финансовый отчет в Excel: https:/ / ********/ gallery/ bKBkQFf Пост отсюда. . .	Кто-нибудь знает, где можно бесплатно получить настольный компьютер или ноутбук? США. Programma_Boinc 26.12.2025 Нашел на реддите интересную статью под названием Anyone know where to get a free Desktop or Laptop? Ниже её машинный перевод. После долгих разбирательств я наконец-то вернула себе. . .	Thinkpad X220 Tablet — это лучший бюджетный ноутбук для учёбы, точка. Programma_Boinc 23.12.2025 Рецензия / Мнение/ Перевод Нашел на реддите интересную статью под названием The Thinkpad X220 Tablet is the best budget school laptop period . Ниже её машинный перевод. Thinkpad X220 Tablet —. . .	PhpStorm 2025.3: WSL Terminal всегда стартует в ~ and_y87 14.12.2025 PhpStorm 2025. 3: WSL Terminal всегда стартует в ~ (home), игнорируя директорию проекта Симптом: После обновления до PhpStorm 2025. 3 встроенный терминал WSL открывается в домашней директории. . .	Как объединить две одинаковые БД Access с разными данными VikBal 11.12.2025 Помогите пожалуйста !! Как объединить 2 одинаковые БД Access с разными данными.
Новый ноутбук volvo 07.12.2025 Всем привет. По скидке в "черную пятницу" взял себе новый ноутбук Lenovo ThinkBook 16 G7 на Амазоне: Ryzen 5 7533HS 64 Gb DDR5 1Tb NVMe 16" Full HD Display Win11 Pro	Музыка, написанная Искусственным Интеллектом volvo 04.12.2025 Всем привет. Некоторое время назад меня заинтересовало, что уже умеет ИИ в плане написания музыки для песен, и, собственно, исполнения этих самых песен. Стихов у нас много, уже вышли 4 книги, еще 3. . .	От async/await к виртуальным потокам в Python IndentationError 23.11.2025 Армин Ронахер поставил под сомнение async/ await. Создатель Flask заявляет: цветные функции - провал, виртуальные потоки - решение. Не threading-динозавры, а новое поколение лёгких потоков. Откат?. . .	Поиск "дружественных имён" СОМ портов Argus19 22.11.2025 Поиск "дружественных имён" СОМ портов На странице: https:/ / norseev. ru/ 2018/ 01/ 04/ comportlist_windows/ нашёл схожую тему. Там приведён код на С++, который показывает только имена СОМ портов, типа,. . .	Сколько Государство потратило денег на меня, обеспечивая инсулином. Programma_Boinc 20.11.2025 Сколько Государство потратило денег на меня, обеспечивая инсулином. Вот решила сделать интересный приблизительный подсчет, сколько государство потратило на меня денег на покупку инсулинов. . . .

@Htext 365 / 124 / 22 Регистрация: 08.01.2015 Сообщений: 1,418 Записей в блоге: 2

	Парсер и уязвимости 10.02.2022, 00:08. Показов 465. Ответов 6 Метки нет (Все метки) Вопрос такой: а что, если в спарсенном коде html будут некие уязвимости, которые могут нехорошо отразиться на сервере? Например, сделать что-то на сервере средствами РНР/perl. Как бороться с этим? Если фильтровать/вырезать - то что именно? 0

@Htext 365 / 124 / 22 Регистрация: 08.01.2015 Сообщений: 1,418 Записей в блоге: 2
	11.02.2022, 11:10 [ТС]
	А вот если этот файл сохранить на сервере и обратиться к нему по ссылке - тогда могут быть иные последствия. 0

@Jodah 3899 / 3237 / 1353 Регистрация: 01.08.2012 Сообщений: 10,904
	11.02.2022, 14:06
	Htext, зависит от расширения файла. А так да, поэтому все подобные вещи должны находиться за пределами публичной части сайта. 1