Witaj Gościu! ( Zaloguj | Rejestruj )

Forum PHP.pl

> Bezpieczeństwo zmiennej GET
Ulysess
post
Post #1





Grupa: Zarejestrowani
Postów: 695
Pomógł: 65
Dołączył: 27.07.2009
Skąd: Y

Ostrzeżenie: (0%)
-----

dzień dobry z góry mówię szukałem poprzez szukaj i nie znalazłem..
mam takie pytanie jakich funkcji użyć aby zabezpieczyć zawartość zmiennej tzn żeby nie było możliwe wykonanie jakiego kolwiek zapytania , złośliwego kodu.
w zmiennej get A oraz B mogą znajdować się tylko i wyłącznie liczby dodatnie. czy użycie is_numeric jest wystarczające (IMG:style_emoticons/default/questionmark.gif)
Go to the top of the page
+Quote Post
 
 Start new topic
Odpowiedzi
Crozin
post
Post #2





Grupa: Zarejestrowani
Postów: 6 476
Pomógł: 1306
Dołączył: 6.08.2006
Skąd: Kraków

Ostrzeżenie: (0%)
-----

Użycie is_numeric z reguły nie jest najlepszym rozwiązaniem - w końcu przepuszcza ono liczby w formacie wykładniczym, liczby zmiennoprzecinkowe jak i całkowite.
[PHP] pobierz, plaintext 
  1. <?
  2. $myVar = isset($_GET['myVar']) ? (int) /* albo (float) */ $_GET['myVar'] : 0;
  3. if($myVar <= 0 || $myVar > 123456){
  4.   die('Invalid value');
  5. }
[PHP] pobierz, plaintext
Dodatkowo taka zmienna ($myVar) jest już oczyszczona, tj. pozbawiona jest jakiś nadmiarowych plusów czy spacji.
Go to the top of the page
+Quote Post
thek
post
Post #3





Grupa: Moderatorzy
Postów: 4 362
Pomógł: 714
Dołączył: 12.02.2009
Skąd: Jak się położę tak leżę :D
Cytat(Crozin @ 30.08.2009, 14:52:54 ) *
Użycie is_numeric z reguły nie jest najlepszym rozwiązaniem - w końcu przepuszcza ono liczby w formacie wykładniczym, liczby zmiennoprzecinkowe jak i całkowite.
Prawda... Ale my sprawdzamy czy jest to liczba. Nie było napisane w pytaniu czy jest to liczba naturalna czy zmiennoprzecinkowa.Ja użyłem is_numeric by wyeliminować konwersję znaków do ich adpowiedników ASCII. I z tego ta funkcja się wywiązuje prawidłowo (IMG:style_emoticons/default/smile.gif)
Go to the top of the page
+Quote Post

Posty w temacie
- Ulysess   Bezpieczeństwo zmiennej GET   30.08.2009, 12:27:48
- - Crozin   Możesz sprawdzić przy pomocy is_numeric, ctype_dig...   30.08.2009, 12:30:55
- - wookieb   Cytat(Rookie @ 30.08.2009, 13:01:34 )...   30.08.2009, 12:31:51
- - Ulysess   if(is_numeric(abs($_GET[a'])) && ...   30.08.2009, 12:32:12
- - daniel1302   Tak, ja zawszę stosuje ctype_digit() ale ona rozpo...   30.08.2009, 12:37:16
- - Ulysess   Cytat(daniel1302 @ 30.08.2009, 13:37...   30.08.2009, 12:49:11
- - thek   Wszystko ładnie, pięknie, ale przez GET lecą także...   30.08.2009, 13:22:05
- - Crozin   Użycie is_numeric z reguły nie jest najlepszym roz...   30.08.2009, 13:52:54
|- - thek   Cytat(Crozin @ 30.08.2009, 14:52:54 )...   30.08.2009, 19:13:38
- - Ulysess   ja to napisałem tak: sprawdzam czy $a i ...   30.08.2009, 17:06:04
- - Fafu   IMO używanie [PHP] pobierz, plaintext $id = (i...   30.08.2009, 19:15:03
- - bełdzio   możesz też użyć wbudowanych filtrów, które w pełni...   30.08.2009, 19:25:34
- - pyro   A jak nie filtr (np. wersja PHP starsza od 5.2.0) ...   30.08.2009, 19:52:31
- - Crozin   @pyro: pomijając to, że nie ma potrzeby dawania ...   30.08.2009, 20:01:18
- - pyro   Cytat(Crozin @ 30.08.2009, 21:01:18 )...   30.08.2009, 20:10:25

« Następny starszy · PHP · Następny nowszy »
 

Reply to this topicStart new topic
2 Użytkowników czyta ten temat (2 Gości i 0 Anonimowych użytkowników)
0 Zarejestrowanych:

 

Tryb wyświetlania: Przełącz na: Standardowy · Przełącz na: Linearny+ · Drzewo

Śledź ten temat · Wyślij temat na e-mail · Wydrukuj ten temat · Subskrybuj to forum

RSS Aktualny czas: 5.10.2025 - 08:14
Powered By IP.Board © 2025  IPS, Inc.
All changes by PHP.pl Administrators
Hosting zapewnia NQ.pl hosting, trac, svn