phpids seems to work filtering some spammers and other attacks, however, it's also filtering some comments and request that are not form attackers or spammers. I copy two examples, the first seems to be a normal reply comment, and the second is a forum sort request:

All tags: xss, csrf
Total impact: 9
Variable: POST.comment | Value: Amigo Una empresa tiene costos constantes a escala cuando cada unidad producida tiene un costo de producción igual, no aumenta ni disminuye cuando se produce más o menos. Una empresa tiene costos crecientes a escala cuando ha pasado a producir más allá de su óptimo y cada vez que aumenta su producción aumenta cada vez más sus costos con lo que está perdiendo dinero en ese caso, con esto, tiene incentivos para producir menos. Tendrá una empresa costos decrecientes a escala cuando su función producción le permite disminuir el costo unitario de cada nuevo bien producido pues su costo baja a medida que aumenta la producción, es decir, tiene capacidad de planta ociosa, hrs. hombre sin utilizar, capacidad de maquinaria aún ociosa o recursos inmobilizados ($$), con lo que tiene incentivo para producir y ganar más dinero porque cada nueva unidad le sale más barata aumentando su utilidad. Pasa mucho esto con los monopolios naturales, donde la inversión inicial es altísima y dada esa capac. instalada tiene incentivos a tener más ventas y producción, por ejemplo tradicional son la Telefonia fija, las empresas de agua potable o alcantarillado, pues dada su infraestructura inicial (por ejemplo en una ciudad completa) le permite captar nuevos clientes a un costo marginal (costo por conectar ese nuevo cliente) bajísimo y el siguiente es más bajo aún, con lo que su ganancia es mayor a medida que capta un nuevo cliente Eso hasta agotar esa capacidad de planta o producción instalada, donde tendría que volver a invertir en una nueva costos infraestructura o no crecer más. Esa costosa inversión inicial hace que no pueda ingresar nueva competencia por el alto costo (barrera natural) con quien se dividirían el mercado, haciendo más difícil recuperar el capital. Espero te haya quedado claro Slds MCB
Impact: 9 | Tags: xss, csrf

    * Rule: (?:[\s\/"]+[-\w\/\\\*]+\s*=.+(?:[")]|(?:\/\s*>)))
      Description: finds attribute breaking injections including obfuscated attributes
      Tags: xss, csrf
    * Rule: (?:\/[\w\s]+\/\.)|(?:,.+=.+(\?|,).*\))|(?:=\s*\/\w+\/\s*\.)|(?:\[\s*\/\w+)
      Description: Detects basic obfuscated JavaScript script injections
      Tags: xss, csrf
	http://www.example.com/user/login?destination=forum%2F9%3Fsort%3Dasc%26order%3DCreado

All tags: xss, csrf, id, rfe
Total impact: 4
Variable: GET.destination | Value: forum/9?sort=asc&order=Creado
Impact: 4 | Tags: xss, csrf, id, rfe

    * Rule: ([^:\s\w,.-\/?+]\s*)?(?Description: Detects JavaScript array properties and methods
      Tags: xss, csrf, id, rfe

I'm getting also false positives from currency converter module

Comments

it-cru’s picture

it-cru
Primary language English
Location Munich
commented

Hello!

I think the first false positive results in '($$) ' in comment text. Could you please try it without this text-construct?

The second impact isn't very high, because impact 9 is the default level to do an PHPIDS action. Here you could try to report your false positives to www.php-ids.org. There you'll find a demo where you can post possible false positives.

www.php-ids.org is the website of the php-ids developer team. The drupal PHPIDS module only use the filters and converter of this package. Possible your problem is also solved if you update your default_filter.xml and Converter.php.

I hope this informations help you to solve your problem. Sry that answer take a little bit long.

greetz from Berlin .. Gos77

federico’s picture

federico commented
Status: Active » Closed (fixed)

Thanks for the info!! The problem isn't so big, ill wait 'till next release of the drupal module.

Viel Spass noch, chao!