Temos pavadinimas: WordPress, Shopify ir PHPFusion programuotojų bendruomenė :: GET saugumas
Parašė Narysx· 2010 Kov. 3 22:03:28
#1
Ar saugi tokia tinklalapio struktūra:
<?php
$id = $_GET['id'];
if ($id == "")
{
echo "pradzia";
} elseif ($id == "antras")
{
echo "antras psl";
}
?>
čia įėjus į index.php rašys pradžia, o įėjus į index.php?id=antras, rašys antras. Nežinau, ar man vaidenosi, ar kažkaip reik apsaugot šitą get funkciją ir nepalikt taip plikos?
Redagavo Narysx· 2010 Kov. 3 22:03:15
Parašė Kelmas· 2010 Kov. 3 22:03:22
#2
$id = $_GET['id'];
Būtinai reikia šita apsaugoti!
Redagavo Kelmas· 2010 Kov. 3 22:03:43
Parašė Narysx· 2010 Kov. 3 22:03:27
#3
O kaip tai padaryti?
Parašė shit-· 2010 Kov. 3 23:03:35
#4
Tai, kad nieko čia nereik saugoti, man atrodo jis tik pajuokavo.
Čia nebent su adminkę būtu, ta prasme ?id=issiuntimas, tai reiktu pridėti kokį random CODE, nu supranti.
Parašė Narysx· 2010 Kov. 4 00:03:12
#5
O man atrodo, kad nepajuokavo. ;D
Parašė ozzWANTED· 2010 Kov. 4 03:03:59
#6
Jeigu turi tik kodą
$id = $_GET['x'];
if($id == 2) echo "boobs";
Viskas čia gerai.
Jeigu turi:
$id = $_GET['x'];
echo $id;
Bus XSS exploitas (cross-site-scripting). Jis nepavojingas šiuo atveju - galės nebent pabuggint save per naršyklę.
O vat jeigu turi
$id = $_GET['x'];
echo dbarraynum(dbquery("SELECT a FROM b WHERE c='$id'"),0);
Tai jau rimta saugumo spraga.
Redagavo ozzWANTED· 2010 Kov. 4 03:03:20
Parašė Narysx· 2010 Kov. 4 18:03:37
#7
O jei papraščiausiai turiu:
$id = $_GET['id'];
if ($id == "puslapis")
{
SELECT * from table where laukelis = puslapis order by sudai
echo "pradzia";
}
saugu?
Redagavo Narysx· 2010 Kov. 4 19:03:51