Co złego jest w tej funkcji

Co złego jest w tej funkcji

ColdFire Zobacz profil	10.04.2006, 12:52:41 Post #1
Grupa: Zarejestrowani Postów: 13 Pomógł: 0 Dołączył: 24.10.2004 Ostrzeżenie: (0%)	Witam. Mam taki kłopot- napisałem sobie funkcję zabezpieczającą linki przed atakami- jest tam pare funkcji na wyrost, ale to taki szczegół. funkcja wygląda tak: [PHP] pobierz, plaintext <?php function danger_links($site) { $_GET['site']=strtolower($_GET['site']); if(strpos($_GET['site'], ".")!==false \|\| (strpos($_GET['site'], "get")!==false) \|\| (strpos($_GET['site'], "union")!==false) \|\| (strpos($_GET['site'], "select")!==false) \|\| (strpos($_GET['site'], "drop")!==false) \|\| (strpos($_GET['site'], "<")!==false) \|\| (strpos($_GET['site'], ">")!==false) \|\| (strpos($_GET['site'], "%")!==false) \|\| (strpos($_GET['site'], "@")!==false) \|\| (strpos($_GET['site'], "update")!==false)) { die ('Niedozwolony adres url'); } } ?> [PHP] pobierz, plaintext po usunięciu $_GET['site']=danger_links($_GET['site']); wszystko wraca do normy... co zatem jest złego w w/w funkcji? po czym w indexie robię [PHP] pobierz, plaintext <?php $_GET['site']=danger_links($_GET['site']); ?> [PHP] pobierz, plaintext Przy wpisaniu któregoś "niebezpiecznego" linku pojawia się żądany napis, jednak wpisując cokolwiek innego nie wyświetla mi innej strony- a jest ona wyświetlana poprzez: [PHP] pobierz, plaintext <?php elseif(isset($_GET['site']) && !empty($_GET['site']) && !isset($_GET['id']) \|\| empty($_GET['id']) ) { $query = "SELECT * FROM `". $db_prefix ."_sites` WHERE name='".$_GET['site']."' "; $result = mysql_query($query); while ($row = mysql_fetch_row($result)) { if($row[3]==false) { echo ($row[6]); } else { eval ($row[6]); } } } ?> [PHP] pobierz, plaintext

Odpowiedzi

ColdFire Zobacz profil	10.04.2006, 18:47:43 Post #2
Grupa: Zarejestrowani Postów: 13 Pomógł: 0 Dołączył: 24.10.2004 Ostrzeżenie: (0%)	Cytat Robisz przypisanie wyniku funkcji do zmiennej. Tyle tylko, że, zauważ, twoja funkcja nic nie zwraca. Mały paradoks, nieprawdaż? (IMG:http://forum.php.pl/style_emoticons/default/ohmy.gif) (IMG:http://forum.php.pl/style_emoticons/default/ohmy.gif) jaki wstyd... zapomniałem o returnie (IMG:http://forum.php.pl/style_emoticons/default/biggrin.gif) natomiast zainteresowało mnie Cytat Albo rezygnujesz z przesyłania parametru, albo zdecydowanie z niego korzystasz, nie odwołując się w ciele funkcji do zmiennych superglobalnych (co zdecydowanie polecam) . dlaczego polecasz takie rozwiązanie? tzn. krótko mówiąc w czym ono jest lepsze?

Posty w temacie

ColdFire Co złego jest w tej funkcji 10.04.2006, 12:52:41

phobos ta ostania czesc kodu ktora zapodales zaczyna sie ... 10.04.2006, 13:06:30

ColdFire tak, to część kodu (najpierw ładowanie gdy nie ma ... 10.04.2006, 13:48:16

phobos moze wystarczy zastowsowac nawiasy sprubuj tak [PH... 10.04.2006, 14:00:20

ColdFire to dobrze działa, problem jest z funkcją danger_li... 10.04.2006, 16:13:16

phobos ah omg ale mnie przycmilo problem jest z ta funkcj... 10.04.2006, 16:31:19

DeyV Cytat$_GET['site']=danger_links(... 10.04.2006, 16:32:02

ColdFire CytatRobisz przypisanie wyniku funkcji do zmiennej... 10.04.2006, 18:47:43

« Następny starszy · PHP · Następny nowszy »

2 Użytkowników czyta ten temat (2 Gości i 0 Anonimowych użytkowników)

0 Zarejestrowanych:

Tryb wyświetlania: Przełącz na: Standardowy · Przełącz na: Linearny+ · Drzewo

Śledź ten temat · Wyślij temat na e-mail · Wydrukuj ten temat · Subskrybuj to forum

Aktualny czas: 28.12.2025 - 02:09

Hosting zapewnia

Forum PHP.pl