Pytanie o sens tego zabezpieczenia

Pytanie o sens tego zabezpieczenia, nierozumiem zastosowania tego czegos

xeo-programer Zobacz profil	15.10.2006, 18:52:24 Post #1
Grupa: Zarejestrowani Postów: 7 Pomógł: 0 Dołączył: 2.10.2005 Ostrzeżenie: (0%)	Witam. Przejechałem wszystkie tematy na forum o bezpieczeństwie, zajęło mi to kilkadziesiąt dluższych chwil ale nie znalazłem odpowiedzi na nurtujące mnie pytanie. Do rzeczy: znalazłem tego typu zabezpieczenie chyba przed dołączaniem niechcianych plików do skryptu: Kod $o = $_GET['o'] = $_POST['o'] = $_REQUEST['o'] = $_SESSION['o'] = $_COOKIE['o'] = $_SERVER['o'] = ''; if( $_GET['o']==$o AND $o<>'' ) displayError( 'błąd w zmiennych systemowych', 1, 'System wykrył obecność nieprawidłowej zmiennej w adresie URL. Prawdopodobnie próba włamania się do systemu...' ); if( !@file_exists($o.'logs/config.log') ) displayError( 'brak pliku', 1, 'System nie może odnaleźć pliku - logs/config.log.' ); No i tu moje pytanie: czy ten kod zabezpiecza skrypty przed przekazywaniem w url zmiennych przy włączonej opcji register_globals i czy jest to skuteczna metoda ochrony. (widze że są zmienne globalne ale nie wiem czy to jest zabezpieczenie do tych zmienych) this.pozdrawiam&help->pls Ten post edytował xeo-programer 15.10.2006, 18:53:15

1010 Zobacz profil	15.10.2006, 19:13:06 Post #2
Grupa: Zarejestrowani Postów: 749 Pomógł: 37 Dołączył: 3.10.2006 Ostrzeżenie: (0%)	Cytat ten kod zabezpiecza skrypty przed przekazywaniem w url zmiennych przy włączonej opcji register_globals -------------------- Knajpy Tarnowskie Góry

dr_bonzo Zobacz profil	15.10.2006, 19:34:03 Post #3
Grupa: Przyjaciele php.pl Postów: 5 724 Pomógł: 259 Dołączył: 13.04.2004 Skąd: N/A Ostrzeżenie: (0%)	To jest bez sensu: to samo mozna zapisac tak: [PHP] pobierz, plaintext <?php $_GET['o'] = ''; $o = ''; // wiec ponizszy warunek NIGDY nie bedzie spelniony if( $_GET['o']==$o AND $o<>'' ) ?> [PHP] pobierz, plaintext A tego to nie rozumiem: [PHP] pobierz, plaintext <?php if( !@file_exists($o.'logs/config.log') ) displayError( 'brak pliku', 1, 'System nie może odnaleźć pliku - logs/config.log.' ); ?> [PHP] pobierz, plaintext Stwierdzanie ze $o != '' na podstawie tego ze zostanie utworzona sciezka do nieistniejacego pliku? Idiotyzm. Zeby zabezpieczyc sie przed register_globals wystarczy INICJOWAC kazda zmienna uzywana, np ZLE: URL = ...?zalogowany=1&haslo=abc [PHP] pobierz, plaintext <?php if ( $haslo = 'abc' ) { $zalogowany = 1; } if ( $zalogowany ) { echo "tajne dane"; } ?> [PHP] pobierz, plaintext przyklad klasyczny, gdy w URLu ustawisz zmienna $zalogowany to przy sprawdzaniu if ( $zalogowany ) $zalogowany i tak bedzie rowne 1 nie wazne jaka wartosc mialo $haslo na poczatku skryptu nalezy wyzerowac $zalogowany (np $zalogowany = 0 ) lub np: tak [PHP] pobierz, plaintext <?php if ( $haslo = 'abc' ) { $zalogowany = 1; } else { $zalogowany = 0; } // tutaj masz calkowita kontrole nad zmienna $zalogowany, i nie jest wazne co zost alo w niej umieszczone za pomoca register_globals if ( $zalogowany ) { echo "tajne dane"; } ?> [PHP] pobierz, plaintext -------------------- Nie lubię jednorożców.

xeo-programer Zobacz profil	15.10.2006, 19:37:38 Post #4
Grupa: Zarejestrowani Postów: 7 Pomógł: 0 Dołączył: 2.10.2005 Ostrzeżenie: (0%)	dziękoofa wielka

« Następny starszy · PHP · Następny nowszy »

1 Użytkowników czyta ten temat (1 Gości i 0 Anonimowych użytkowników)

0 Zarejestrowanych:

Tryb wyświetlania: Standardowy · Przełącz na: Linearny+ · Przełącz na: Drzewo

Śledź ten temat · Wyślij temat na e-mail · Wydrukuj ten temat · Subskrybuj to forum

Wersja Lo-Fi

Aktualny czas: 18.06.2025 - 17:10

Hosting zapewnia

Forum PHP.pl