🔎

strpos(strtolower($autor), '.php') !== false || stripos(urlencode($autor), "%AD") !== false. Що це?

Олексій, , 1 відповідь
Що це за перевірка: if (strpos(strtolower($autor), '.php') !== false || stripos(urlencode($autor), "%AD") !== false) {
php
1 відповідь
  • Віктор
    Ця перевірка застаріла, крихка і не додає реальної безпеки. Розберімо по суті.

    Що робить ця перевірка
    if (
        strpos(strtolower($autor), '.php') !== false ||
        stripos(urlencode($autor), "%AD") !== false
    ) {
        ...
    }
    1️⃣ .php. Колись так намагалися:

    - зловити спроби shell.php

    - запобігти file inclusion / upload

    👉 У полі “ім’я автора” це взагалі не релевантно.

    2️⃣ %AD

    %AD — це байт 0xAD (soft hyphen). Його колись використовували для:

    - обходу фільтрів

    - старих багів у Apache / UTF-8