Witaj Gościu! ( Zaloguj | Rejestruj )

Forum PHP.pl

> [php] przekazywaine parametrow w URL
hhg
post
Post #1





Grupa: Zarejestrowani
Postów: 316
Pomógł: 0
Dołączył: 5.07.2006

Ostrzeżenie: (0%)
-----

z tego co wiem przekazywanie parametrow w URL

Kod
storna.pl/podstrona.php?parametr1=wartosc1


jest niezbezpieczne (np PHP injection)

czy przed tym wystarczy zabepieczenie:
[PHP] pobierz, plaintext 
  1. <?php
  2. switch ($_GET['parametr1']) {
  3.  
  4. case 'podstrona1.html':
  5. operacje na wartosci..
  6. case ....
  7.  
  8. }
  9. ?>
[PHP] pobierz, plaintext



? jak sie zabezpieczyc przed takimi url-atakami?
Go to the top of the page
+Quote Post
 
 Start new topic
Odpowiedzi
tsharek
post
Post #2





Grupa: Zarejestrowani
Postów: 300
Pomógł: 1
Dołączył: 22.09.2003
Skąd: Czeladź

Ostrzeżenie: (0%)
-----

Witam,

Może się mylę, ale wystarczy rzutowanie lub sprawdzanie typów + nie używanie EVALa czy innej funkcji wykonującej coś ze stringa (SYSTEM, EXEC) ze zmiennych hyperglobalnych. W Twoim przypadku dodałbym jednego ifa:
[PHP] pobierz, plaintext 
  1. <?php
  2. if(!isset($_GET['parametr1'] || !is_string($_GET['parametr1'])) $_GET['parametr1']='';
  3.  
  4. switch ($_GET['parametr1']) {
  5.  
  6. case 'podstrona1.html':
  7. operacje na wartosci..
  8. case ....
  9.  
  10. }
  11. ?>
[PHP] pobierz, plaintext

żeby nie otrzymywać warningów o niezgodnści typów jak ktoś wyśle
Kod
storna.pl/podstrona.php?parametr1['ble']=wartosc1


Pozdrawiam,
tsharek
Go to the top of the page
+Quote Post

Posty w temacie
- hhg   [php] przekazywaine parametrow w URL   27.08.2007, 23:56:19
- - tsharek   Witam, Może się mylę, ale wystarczy rzutowanie lu...   28.08.2007, 07:03:01
- - hhg   czyli atak przez to jest niemozliwy??   28.08.2007, 18:45:17
- - fredzio90   jeżeli wartościami są TYLKO liczby to polecam taki...   29.08.2007, 14:24:08
|- - tsharek   Cytat(fredzio90 @ 29.08.2007, 15:24:0...   30.08.2007, 06:41:33
- - PanGuzol   addslashes()" title="Zobacz w manualu PHP" target=...   29.08.2007, 22:06:12
- - hhg   CytatTakie coś CI wogle nie zadziała, bo w w casie...   30.08.2007, 12:22:14
- - tsharek   ojejku.. a czemu miało by tak niby być? chyba nie ...   30.08.2007, 12:42:26

« Następny starszy · Przedszkole · Następny nowszy »
 

Reply to this topicStart new topic
2 Użytkowników czyta ten temat (2 Gości i 0 Anonimowych użytkowników)
0 Zarejestrowanych:

 

Tryb wyświetlania: Przełącz na: Standardowy · Przełącz na: Linearny+ · Drzewo

Śledź ten temat · Wyślij temat na e-mail · Wydrukuj ten temat · Subskrybuj to forum

RSS Aktualny czas: 8.10.2025 - 09:14
Powered By IP.Board © 2025  IPS, Inc.
All changes by PHP.pl Administrators
Hosting zapewnia NQ.pl hosting, trac, svn