Witaj Gościu! ( Zaloguj | Rejestruj )

Forum PHP.pl

> Zabezpieczenie skryptów
blaskognia
post
Post #1





Grupa: Zablokowani
Postów: 42
Pomógł: 0
Dołączył: 24.01.2006

Ostrzeżenie: (30%)
XX---

W kursie php znalazłem takie zdanie w związku ze zmiennymi globalnymi, a konkretniej z p fukncją POST

Cytat
"Wydaje się to wygodniejsze i łatwiejsze, lecz powoduje pewne niebezpieczeństwo. Mianowicie używając zmiennych globalnych nie można stwierdzić, czy dana wartość pochodzi z sesji czy może została podana w URLu metodą GET. Przy źle napisanych skryptach można tak obchodzić zabezpieczenia."


Jak zabezpieczać skrypty?
Go to the top of the page
+Quote Post
 
 Start new topic
Odpowiedzi
ActivePlayer
post
Post #2





Grupa: Przyjaciele php.pl
Postów: 1 224
Pomógł: 40
Dołączył: 6.07.2004
Skąd: Wuppertal

Ostrzeżenie: (0%)
-----

przy register_globals = on

mając taki kod:

[PHP] pobierz, plaintext 
  1. <?php
  2.  
  3. if($zalogowany == true){
  4. //jakis ukryty kod
  5. }
  6.  
  7. ?>
[PHP] pobierz, plaintext

zmienna $zalogowany pobirała wartość np w Twoim przypadku z sesji ale...
tajny_plik.php?zalogowany=1
i zmienna $zalogowany mogła przyjąć wartość true. ogolnei zamotka z tym była. najbezpieczenij uzywac $_GET $_POST itd. do tego sprawdzac czy przychadzące dane są idpowiedniego typu, is numeric itd. wiecej w temacie sql injection (przyklejony jest).
Go to the top of the page
+Quote Post

Posty w temacie
- blaskognia   Zabezpieczenie skryptów   28.01.2006, 20:00:19
- - bełdzio   nie używać register global , a jak już musisz to m...   28.01.2006, 20:23:48
- - blaskognia   Tzn.? Podaj jeśli możesz przykłądy filtrowania?   28.01.2006, 20:40:48
- - Radarek   Samo register globals moze byc wlaczone na serwerz...   28.01.2006, 20:42:33
- - blaskognia   I to jest to filtrowanie? :- ) Bo jeśli tak to każ...   28.01.2006, 20:45:13
- - strife   To już było poruszane, nawet jest temat przyklejon...   28.01.2006, 21:15:59
- - Radarek   Cytat(blaskognia @ 2006-01-28 19:45:13)I to j...   28.01.2006, 21:46:32
- - blaskognia   A czy istnieje możliwość włamania się gdy skrypt k...   28.01.2006, 22:31:33
- - Radarek   W 99% nie jest w stanie tego zlamac . Zmienne sesy...   28.01.2006, 23:33:27
- - blaskognia   Czyli na dobrą sprawę niemal 100% zabezpieczeniem ...   28.01.2006, 23:37:42
- - ActivePlayer   przy register_globals = on mając taki kod: [PHP]...   29.01.2006, 00:16:16
- - blaskognia   Ale ja nie napisałem: if($zalogowany == true...   29.01.2006, 09:37:59
- - ActivePlayer   tak. to jest jak najbardziej poprawne w myśl ...   29.01.2006, 10:44:42

« Następny starszy · Przedszkole · Następny nowszy »
 

Reply to this topicStart new topic
2 Użytkowników czyta ten temat (2 Gości i 0 Anonimowych użytkowników)
0 Zarejestrowanych:

 

Tryb wyświetlania: Przełącz na: Standardowy · Przełącz na: Linearny+ · Drzewo

Śledź ten temat · Wyślij temat na e-mail · Wydrukuj ten temat · Subskrybuj to forum

RSS Aktualny czas: 24.12.2025 - 08:51
Powered By IP.Board © 2025  IPS, Inc.
All changes by PHP.pl Administrators
Hosting zapewnia NQ.pl hosting, trac, svn