[PHP] Bezpieczne przekierowanie przez GET

[PHP] Bezpieczne przekierowanie przez GET

reyne Zobacz profil	6.11.2012, 18:32:19 Post #1
Grupa: Zarejestrowani Postów: 73 Pomógł: 1 Dołączył: 19.12.2007 Ostrzeżenie: (0%)	Witam (IMG:style_emoticons/default/smile.gif) Napisałem skrypt go.php który wywoływany jest z hiperłączy na mojej stronie w postaci: go.php?url=http://adrestrony.pl np: <a href="go.php?http://gry.pl">strona z grami</a> tak wygląda kod skryptu [PHP] pobierz, plaintext $go = $_GET['url']; if(isset($go)) { // w tabeli entries znajduje sie baza linkow $give = mysql_query("UPDATE `entries` SET `entry_clicks`=`entry_clicks`+'1' WHERE `entry_link`='".$go."'"); header("Location: ".$go.""); } [PHP] pobierz, plaintext chodzi o to że skrypt dodaje do bazy kliknięcia w dany link, następnie przekierowuje użytkownika pod dany adres ze zmiennej get - URL. Wszystko działa, problem pojawia się, kiedy w adresie ze zmiennej $_GET['url'] znajduje się np znak &, wtedy skrypt wariuje, bo jak się domyślam dopisuje to adres do skryptu go.php zamiast przekierowywać. Pytanie: Jak zrobić żeby to działało poprawnie i bezpiecznie?

Odpowiedzi

reyne Zobacz profil	6.11.2012, 18:44:25 Post #2
Grupa: Zarejestrowani Postów: 73 Pomógł: 1 Dołączył: 19.12.2007 Ostrzeżenie: (0%)	Domyślam się, że nie jest to bezpieczne dlatego proszę o pomoc, właśnie nie chciałbym kodować adresu, chciałbym żeby użytkownik widział link do jakiego się kieruje, czy jest taka możliwość żeby to było w ten sposób, do tego bezpieczne? Co do [PHP] pobierz, plaintext $url = preg_replace('/?[a-zA-Z0-9\&\=]+/', '', $url); [PHP] pobierz, plaintext nie przejdzie ponieważ usunie wtedy z docelowego adresu znak &, który jest potrzebny (inaczej wywoływana strona się nie otworzy) Ten post edytował reyne 6.11.2012, 18:44:58

b4rt3kk Zobacz profil	6.11.2012, 18:50:49 Post #3
Grupa: Zarejestrowani Postów: 1 933 Pomógł: 460 Dołączył: 2.04.2010 Skąd: Lublin Ostrzeżenie: (0%)	Cytat(reyne @ 6.11.2012, 18:44:25 ) Domyślam się, że nie jest to bezpieczne dlatego proszę o pomoc, właśnie nie chciałbym kodować adresu, chciałbym żeby użytkownik widział link do jakiego się kieruje, czy jest taka możliwość żeby to było w ten sposób, do tego bezpieczne? Co do [PHP] pobierz, plaintext $url = preg_replace('/?[a-zA-Z0-9\&\=]+/', '', $url); [PHP] pobierz, plaintext nie przejdzie ponieważ usunie wtedy z docelowego adresu znak &, który jest potrzebny (inaczej wywoływana strona się nie otworzy) Nie przesadziłeś tutaj z cudzysłowami? [PHP] pobierz, plaintext header("Location: ".$go.""); [PHP] pobierz, plaintext a jeśli chodzi o bezpieczeństwo, to filtruj dokładnie dane wpisywane przez użytkownika, najlepiej zastosuj preg_match, co daje pewne zabezpieczenie. Musisz mieć absolutną pewność przed dodaniem czegoś do bazy, że jest to wartość, której oczekujesz, w tym przypadku adres www.

Posty w temacie

reyne [PHP] Bezpieczne przekierowanie przez GET 6.11.2012, 18:32:19

CuteOne 1. wiesz jak łatwo zrobić na tym skrypcie SQL Inje... 6.11.2012, 18:37:36

b4rt3kk Utnij wszystko co jest zgodne ze wzorcem: [PHP] p... 6.11.2012, 18:39:38

reyne Domyślam się, że nie jest to bezpieczne dlatego pr... 6.11.2012, 18:44:25

b4rt3kk Cytat(reyne @ 6.11.2012, 18:44:25 ) D... 6.11.2012, 18:50:49

redeemer Takiego przekierowania w ogóle się nie powinno rob... 6.11.2012, 18:54:22

reyne czyli nie da się zrobić tego bez filtracji? 6.11.2012, 18:54:27

sowiq Zrobić się da. Inna sprawa, że jeśli chcesz mieć ... 6.11.2012, 19:00:50

reyne Ok dzięki Panowie 6.11.2012, 19:06:26

2 Użytkowników czyta ten temat (2 Gości i 0 Anonimowych użytkowników)

0 Zarejestrowanych:

Tryb wyświetlania: Przełącz na: Standardowy · Przełącz na: Linearny+ · Drzewo

Aktualny czas: 12.10.2025 - 02:52

Hosting zapewnia

Forum PHP.pl