Temos pavadinimas: WordPress, Shopify ir PHPFusion programuotojų bendruomenė :: GET saugumas

Parašė Narysx· 2010 Kov. 3 22:03:28
#1

Ar saugi tokia tinklalapio struktūra:

<?php

$id = $_GET['id'];

if ($id == "")
{
echo "pradzia";
} elseif ($id == "antras")
{
echo "antras psl";
}

?>




čia įėjus į index.php rašys pradžia, o įėjus į index.php?id=antras, rašys antras. Nežinau, ar man vaidenosi, ar kažkaip reik apsaugot šitą get funkciją ir nepalikt taip plikos?

Redagavo Narysx· 2010 Kov. 3 22:03:15

Parašė Kelmas· 2010 Kov. 3 22:03:22
#2

$id = $_GET['id'];



Būtinai reikia šita apsaugoti!

Redagavo Kelmas· 2010 Kov. 3 22:03:43

Parašė Narysx· 2010 Kov. 3 22:03:27
#3

O kaip tai padaryti?

Parašė shit-· 2010 Kov. 3 23:03:35
#4

Tai, kad nieko čia nereik saugoti, man atrodo jis tik pajuokavo.
Čia nebent su adminkę būtu, ta prasme ?id=issiuntimas, tai reiktu pridėti kokį random CODE, nu supranti.

Parašė Narysx· 2010 Kov. 4 00:03:12
#5

O man atrodo, kad nepajuokavo. ;D

Parašė ozzWANTED· 2010 Kov. 4 03:03:59
#6

Jeigu turi tik kodą
$id = $_GET['x'];
if($id == 2) echo "boobs";



Viskas čia gerai.

Jeigu turi:


$id = $_GET['x'];
echo $id;




Bus XSS exploitas (cross-site-scripting). Jis nepavojingas šiuo atveju - galės nebent pabuggint save per naršyklę.

O vat jeigu turi
$id = $_GET['x'];
echo dbarraynum(dbquery("SELECT a FROM b WHERE c='$id'"),0);



Tai jau rimta saugumo spraga.

Redagavo ozzWANTED· 2010 Kov. 4 03:03:20

Parašė Narysx· 2010 Kov. 4 18:03:37
#7

O jei papraščiausiai turiu:

$id = $_GET['id'];

if ($id == "puslapis")
{
SELECT * from table where laukelis = puslapis order by sudai
echo "pradzia";
}




saugu?

Redagavo Narysx· 2010 Kov. 4 19:03:51