 Bezpieczeństwo zmiennej GET |
| Bezpieczeństwo zmiennej GET |
Post
#1
|
|
|
Grupa: Zarejestrowani Postów: 695 Pomógł: 65 Dołączył: 27.07.2009 Skąd: Y Ostrzeżenie: (0%) 
 |
dzień dobry z góry mówię szukałem poprzez szukaj i nie znalazłem..
mam takie pytanie jakich funkcji użyć aby zabezpieczyć zawartość zmiennej tzn żeby nie było możliwe wykonanie jakiego kolwiek zapytania , złośliwego kodu. w zmiennej get A oraz B mogą znajdować się tylko i wyłącznie liczby dodatnie. czy użycie is_numeric jest wystarczające (IMG:style_emoticons/default/questionmark.gif) |
 |
 
|
 |
|
Post
#2
|
|
|
Grupa: Moderatorzy Postów: 4 362 Pomógł: 714 Dołączył: 12.02.2009 Skąd: Jak się położę tak leżę :D |
Wszystko ładnie, pięknie, ale przez GET lecą także stringi a nie tylko int. Rozumiem, że w tym temacie akurat o INT chodzi, bo tak autor zadeklarował. Ja sądzę, że najpierw powinno być sprawdzenie czy zmienna jest w ogóle ustawiona (isset), potem sprawdzenie czy zmienna jest liczbą (is_numeric), a na sam koniec czy jest większa od 0. A dlaczego tak i w tej kolejności? To proste. w warunku IF php sprawdza zależności po kolei i w przypadku gdy wszędzie są AND przerwie sprawdzanie na pierwszym FALSE nie kończąc i idąc dalej. Wynika to z algebry Boole'a, gdyż tylko TRUE na wszystkich pozycjach daje TRUE. Wystarczy choć jeden FALSE i automatycznie całe wyrażenie jest FALSE. Dlatego powinno się te najbardziej istotne ustawiać na samym początku by warunki były jak najbardziej optymalne.
Może się w takim przypadku zdarzyć, że jeśli A nie będzie liczbą, to IF zwróci FALSE już przy drugim fragmencie i reszty nawet nie sprawdzi, wychodząc z warunku. To jest optymalizacja w IFie dla szybszego działania. Inna sprawa to kolejność w jakiej sprawdzam. Dlaczego taką przyjąłem? To proste. Zmienna musi być i to chyba jasne dlaczego isset jest pierwsze. A dlaczego is_numeric jest drugie? Bo jeśli ktoś do zmiennej A wpisze c, t lub jakąkolwiek literę to $_GET['A'] zwróci TRUE. Wynika to z tego, że PHP niejawnie skonwertuje znak do odpowiadającego mu kodu ASCII i zwróci znak jako liczbę typu INT zawsze dodatnią, bo nie ma ujemnych znaków ASCII. A przecież to jest jawny błąd. Stąd sprawdzanie czy zmienna jest liczbą musi być wykonane wcześniej niż sprawdzenie większości od 0. |
|
|
|
Ulysess Bezpieczeństwo zmiennej GET 30.08.2009, 12:27:48 
Crozin Możesz sprawdzić przy pomocy is_numeric, ctype_dig... 30.08.2009, 12:30:55 wookieb Cytat(Rookie @ 30.08.2009, 13:01:34 )... 30.08.2009, 12:31:51 Ulysess if(is_numeric(abs($_GET[a'])) && ... 30.08.2009, 12:32:12 daniel1302 Tak, ja zawszę stosuje ctype_digit() ale ona rozpo... 30.08.2009, 12:37:16 Ulysess Cytat(daniel1302 @ 30.08.2009, 13:37... 30.08.2009, 12:49:11 Crozin Użycie is_numeric z reguły nie jest najlepszym roz... 30.08.2009, 13:52:54 
thek Cytat(Crozin @ 30.08.2009, 14:52:54 )... 30.08.2009, 19:13:38 Ulysess ja to napisałem tak:
sprawdzam czy $a i ... 30.08.2009, 17:06:04 Fafu IMO używanie
[PHP] pobierz, plaintext $id = (i... 30.08.2009, 19:15:03 bełdzio możesz też użyć wbudowanych filtrów, które w pełni... 30.08.2009, 19:25:34 pyro A jak nie filtr (np. wersja PHP starsza od 5.2.0) ... 30.08.2009, 19:52:31 Crozin @pyro: pomijając to, że nie ma potrzeby dawania ... 30.08.2009, 20:01:18 pyro Cytat(Crozin @ 30.08.2009, 21:01:18 )... 30.08.2009, 20:10:25  |
|
Aktualny czas: 13.10.2025 - 07:03 |
