Witaj Gościu! ( Zaloguj | Rejestruj )

Forum PHP.pl

> Bezpieczeństwo skryptu
morphi99
post 21.06.2008, 21:59:34
Post #1





Grupa: Zarejestrowani
Postów: 12
Pomógł: 2
Dołączył: 16.02.2008

Ostrzeżenie: (0%)
-----

W jakim stopniu ten skrypt jest bezpieczny, jeśli zawiera błędy to jak go poprawić ?
Kod
<?php
if ($_GET['page'] && file_exists('pages/' . $_GET['page'] . '.php') && strpos($_GET['page'], '../') === false)
{
   include 'pages/' . $_GET['page'] . '.php';
}
else
{
   echo ('Taka strona nie istnieje');
}
?>


Ten post edytował morphi99 22.06.2008, 08:56:39
Go to the top of the page
+Quote Post
 
 Start new topic
Odpowiedzi
morphi99
post 22.06.2008, 09:06:02
Post #2





Grupa: Zarejestrowani
Postów: 12
Pomógł: 2
Dołączył: 16.02.2008

Ostrzeżenie: (0%)
-----

A czym różnił by się ten zapis:
Kod
$_GET['page']

od takiego zapisu:
Kod
$_GET[page]
Go to the top of the page
+Quote Post
scanner
post 22.06.2008, 21:20:53
Post #3





Grupa: Zarząd
Postów: 3 503
Pomógł: 28
Dołączył: 17.10.2002
Skąd: Wrocław
Cytat(morphi99 @ 22.06.2008, 10:06:02 ) *
A czym różnił by się ten zapis:
Kod
$_GET['page']

od takiego zapisu:
Kod
$_GET[page]

Pierwsza linia oznacza odwołanie do indeksu page w tablicy $_GET
Druga linia oznacza odwołanie do indeksu w tablicy $_GET, którego wartość znajduje się w stałej page.

Drugi zapis spowoduje wygenerowanie E_WARNING (bądź E_NOTICE, nie pamiętam w tej chwili) zawsze, gdy stała page jest niezdefiniowana. Niestety PHP nie traktuje tego jako błędu krytycznego i uznaje wartość niezdefiniowanej zmiennej jako równa jej nazwie (czyli po wygenerowaniu powyższego błędu symuluje takie działanie:
[PHP] pobierz, plaintext 
  1. <?php
  2. define("page", "page");
  3. ?>
[PHP] pobierz, plaintext
i kontynuuje działanie. Jeśłi masz obniżony poziom raportowania błędów, nawet tego nie zauważysz - ale jest to jeden z podstawowych błędów początkujących programistów.


--------------------
scanner.info
Warto pamiętać: KISS, DRY
Go to the top of the page
+Quote Post

Posty w temacie
- morphi99   Bezpieczeństwo skryptu   21.06.2008, 21:59:34
- - Xniver   Daj jeszcze na początek: [PHP] pobierz, plaintext ...   21.06.2008, 23:09:29
- - morphi99   A czym różnił by się ten zapis: Kod $_GET...   22.06.2008, 09:06:02
|- - scanner   Cytat(morphi99 @ 22.06.2008, 10:06:02...   22.06.2008, 21:20:53
- - admin22   Ja na niektórych serwisach mam takie zabezpieczeni...   22.06.2008, 09:31:49
|- - matx132   Cytat(admin22 @ 22.06.2008, 08:31:49 ...   22.06.2008, 09:43:16
- - Xniver   admin22 - na bezpieczny to on nie wygląda, korzyst...   22.06.2008, 11:17:41
- - bełdzio   to jak każdy daje coś od siebie to ja też dam ;-) ...   22.06.2008, 12:15:32

« Następny starszy · PHP · Następny nowszy »
 

Reply to this topicStart new topic
1 Użytkowników czyta ten temat (1 Gości i 0 Anonimowych użytkowników)
0 Zarejestrowanych:

 

Tryb wyświetlania: Przełącz na: Standardowy · Przełącz na: Linearny+ · Drzewo

Śledź ten temat · Wyślij temat na e-mail · Wydrukuj ten temat · Subskrybuj to forum

RSS Wersja Lo-Fi Aktualny czas: 5.05.2024 - 22:51
Powered By IP.Board © 2024  IPS, Inc.
All changes by PHP.pl Administrators
Hosting zapewnia NQ.pl hosting, trac, svn