 eval i $_GET |
  |
| eval i $_GET |
Post
#1
|
|
|
Grupa: Zarejestrowani Postów: 101 Pomógł: 5 Dołączył: 15.10.2008 Skąd: Wrocław Ostrzeżenie: (0%) 
 |
mam na stronie dane przesylane metoda get i z tego co slyszalem kazdy moze sobie uzyc eval() aby uzyskac dostep do bazy danych... mozna to wylaczyc w pliku php.ini ale jesli moj dostawca hostingu nie daje mi dostepu do tego pliku ? da rade jakos jeszcze zabezpieczyc $_GET przed atakiem na baze danych ?
|
 |
 
|
|
Post
#2
|
|
|
Grupa: Zarejestrowani Postów: 690 Pomógł: 81 Dołączył: 6.04.2005 Skąd: Szczecin Ostrzeżenie: (0%)
|
nie korzystaj z eval i po klopocie (IMG:http://forum.php.pl/style_emoticons/default/smile.gif)
|
|
|
|
|
Post
#3
|
|
|
Grupa: Zarejestrowani Postów: 101 Pomógł: 5 Dołączył: 15.10.2008 Skąd: Wrocław Ostrzeżenie: (0%)
|
ja nie korzystam... a jak ktos w adresie przegladarki dopisze to eval() ?
|
|
|
|
|
Post
#4
|
|
|
Grupa: Zarejestrowani Postów: 690 Pomógł: 81 Dołączył: 6.04.2005 Skąd: Szczecin Ostrzeżenie: (0%)
|
to sie nic nie stanie (IMG:http://forum.php.pl/style_emoticons/default/smile.gif)
|
|
|
|
|
Post
#5
|
|
|
Grupa: Zarejestrowani Postów: 230 Pomógł: 3 Dołączył: 8.01.2008 Ostrzeżenie: (10%) 
|
Z tego co wiem, to zabezpieczenie bazy danych zależy od zabezpieczenia wykonywanych na niej operacji.
Jak mógłby ktoś wykonać coś na twoim serwerze przesyłając przez $_GET polecenie? Musiałbyć wewnątrz mieć eval($_GET['page']) czy coś :-) Ale nie jestem wtajemniczony w zagadnienie eval. |
|
|
|
|
Post
#6
|
|
|
Grupa: Zarejestrowani Postów: 101 Pomógł: 5 Dołączył: 15.10.2008 Skąd: Wrocław Ostrzeżenie: (0%)
|
nie wiem (IMG:http://forum.php.pl/style_emoticons/default/tongue.gif) tak tylko slyszalem wiec pytam (IMG:http://forum.php.pl/style_emoticons/default/tongue.gif) czy to wogole jest mozliwe ze jak mam dane $_GET to zeby ktos to mogl wykorzystac i uzyskac dostep do bazy (IMG:http://forum.php.pl/style_emoticons/default/smile.gif)
|
|
|
|
|
Post
#7
|
|
|
Grupa: Moderatorzy Postów: 15 467 Pomógł: 1451 Dołączył: 25.04.2005 Skąd: Szczebrzeszyn/Rzeszów |
Cytat czy to wogole jest mozliwe ze jak mam dane $_GET to zeby ktos to mogl wykorzystac i uzyskac dostep do bazy Jeśli nie filtrujesz danych pochodzących od użytkownika, to w najgorszym przypadku ktoś zainclude" title="Zobacz w manualu PHP" target="_manual'uje zdalny plik i zrobi z Twojego serwera komputer-zombie. Są przyklejone wątki dotyczące bezpieczeństwa. |
|
|
|
|
Post
#8
|
|
|
Grupa: Zarejestrowani Postów: 690 Pomógł: 81 Dołączył: 6.04.2005 Skąd: Szczecin Ostrzeżenie: (0%)
|
Cytat(Smoker @ 15.03.2009, 17:40:52 )  nie wiem (IMG:http://forum.php.pl/style_emoticons/default/tongue.gif) tak tylko slyszalem wiec pytam (IMG:http://forum.php.pl/style_emoticons/default/tongue.gif) czy to wogole jest mozliwe ze jak mam dane $_GET to zeby ktos to mogl wykorzystac i uzyskac dostep do bazy (IMG:http://forum.php.pl/style_emoticons/default/smile.gif) tak jesli nie filtrujesz przychodzacych danych jestes narazony na SQL Injection |
|
|
|
|
Post
#9
|
|
|
Grupa: Zarejestrowani Postów: 101 Pomógł: 5 Dołączył: 15.10.2008 Skąd: Wrocław Ostrzeżenie: (0%)
|
filtrowac filtruje... str_replace() i htmlspecialchars() uzywam i pozbywam sie wszystkiego co uznaje za niepotrzebne (IMG:http://forum.php.pl/style_emoticons/default/smile.gif)
chyba ze o inne filtrowanie chodzi o ktorym nie wiem (IMG:http://forum.php.pl/style_emoticons/default/snitch.gif) Ten post edytował Smoker 15.03.2009, 17:45:54 |
|
|
|
|
Post
#10
|
|
|
Grupa: Zarejestrowani Postów: 690 Pomógł: 81 Dołączył: 6.04.2005 Skąd: Szczecin Ostrzeżenie: (0%)
|
oj chodzi chodzi :-) popatrz tu Temat: SQL_Injection_Insertion tu Temat: Bezpieczenstwo_skryptow_PHP i tu http://www.beldzio.com/kategoria/bezpieczenstwo
|
|
|
|
|
Post
#11
|
|
|
Grupa: Zarejestrowani Postów: 101 Pomógł: 5 Dołączył: 15.10.2008 Skąd: Wrocław Ostrzeżenie: (0%)
|
dobra juz czytam :]
chyba bede musial to wziasc jako lekture teraz i dokladnie wszystko przeczytac i pozmieniac troche w skrypcie :] Ten post edytował Smoker 15.03.2009, 17:53:22 |
|
|
|
|
|
Aktualny czas: 2.10.2025 - 19:47 |
