Pradinis
Pagalba
Užsisakyk!
- Reklamą
- Hostingą
- El. pašto dėžutę
Užsisakyk!
Įrankiai
Pasidalink
- Visos temos
REKLAMA
PHPFusion - tai laisvai platinama nemokama turinio valdymo sistema (TVS), kurios pagalba galite greitai, lengvai ir
patogiai susikurti norimą internetinį puslapį. Plačiau apie sistemą...
Prisijungti
Šaukykla
Žmogus
2025 Geg. 31 10:05:18
Kas geresnio?
Nepas
2025 Bal. 9 17:04:13
Nepas
2025 Bal. 9 17:04:08
Gizmis
2025 Kov. 15 14:03:50
OMG, smagu matyt sita puslapi veikianti
ozzWANTED
2024 Lap. 30 15:11:14
Taip, vis dar up
2025 Geg. 31 10:05:18
Kas geresnio?
Nepas
2025 Bal. 9 17:04:13
Nepas
2025 Bal. 9 17:04:08
Gizmis
2025 Kov. 15 14:03:50
OMG, smagu matyt sita puslapi veikianti
ozzWANTED
2024 Lap. 30 15:11:14
Taip, vis dar up
Apklausa
Reklama 400x60
Apsaugokime kintamuosius
| Dažniausiai kintamuosius keliaujančius formomis pažymime paprastai ir aiškiai - dažniausiai tokiu būdu: $abc = $_GET['abc']; Pateiksiu porą saugesnių būdų kaip tai užkamšyti... Geriausias būdas yra apsaugokite kintamąjį yra filtruoti jo turinį nuo nepageidaujamų HTML gairių bei ženklų panaudojant htmlspecialchars() funkciją. Tokiu atveju mūsų kintamasis atrodytų taip: $abc = htmlspecialchars($_GET['abc']); Tokiu būdu galite saugiai naudotis puslapiavimo bei kitomis funkcijomis. Nors straipsnis ir trumpas, bet manau informatyvus bei paprastas. Sėkmės kuriant saugų rytojų. :) Straipsnį pateikė narys Follow. | Straipsnio informacijaAutoriusPakartoti slaptažodį Parašymo data 2010 birželio 23 22:06:18 Komentarų 14 Skaityta 2251  Spausdinti |
Komentarai
nbanba
2010 birželio 24 23:06:41
Goku, čia visiems būtinas šitas straipsnis, o ne tik naujokams
Prie to pačio galėjai surašyti ir PHP-Fusion funkcijas, kaip "stripinput" ir pan.
Goku, čia visiems būtinas šitas straipsnis, o ne tik naujokams
Prie to pačio galėjai surašyti ir PHP-Fusion funkcijas, kaip "stripinput" ir pan.
Žmogus
2010 birželio 25 12:06:48
Šita atsimenu, kad reikia apsaugoti, o kas gali nutikti, jei neapsaugai?
Šita atsimenu, kad reikia apsaugoti, o kas gali nutikti, jei neapsaugai?
nbanba
2010 birželio 25 14:06:16
Shadovw, kas nutiks, jei neapsisaugai, yra pilna pavyzdžių šiame forume. Daug verksnių atsiranda rašančių - "padėkite nulaužė web'ą"
Shadovw, kas nutiks, jei neapsisaugai, yra pilna pavyzdžių šiame forume. Daug verksnių atsiranda rašančių - "padėkite nulaužė web'ą"
maxas66
2010 birželio 27 15:06:23
Universalų įrankį galiu pasiūlyti
kodo viršuje įkišate, ir filtruoja viską :) galimas ir $_POST variantas.
Universalų įrankį galiu pasiūlyti
foreach($_GET as $key => $value) {
$_GET[$key] = htmlspecialchars($value, ENT_QUOTES);
}
kodo viršuje įkišate, ir filtruoja viską :) galimas ir $_POST variantas.
Kelmas
2010 birželio 27 16:06:19
Nesąmonė, o ne kodas. Jeigu norit normaliai apsisaugoti - naudokit ten kur reikia specialias funkcijas, o ne ant visu $_GET jas varykit. Nes paskui pasigailėsit.
P.S Kalbu apie Eizo0x žinutę!
----------------------------------
Redagavo Kelmas 2010 Bir. 27 16:06:53
Nesąmonė, o ne kodas. Jeigu norit normaliai apsisaugoti - naudokit ten kur reikia specialias funkcijas, o ne ant visu $_GET jas varykit. Nes paskui pasigailėsit.
P.S Kalbu apie Eizo0x žinutę!
----------------------------------
Redagavo Kelmas 2010 Bir. 27 16:06:53
maxas66
2010 birželio 27 17:06:47
Tai čia koncepcinis kodas, galbūt kiti savo sistemas rašo, kur pagrinde GET/POST metodai eina į MySQL, neverčiu jo gi naudot, galima pasidaryt gi funkciją, kad dirbtų kajp tik nori..
Tai čia koncepcinis kodas, galbūt kiti savo sistemas rašo, kur pagrinde GET/POST metodai eina į MySQL, neverčiu jo gi naudot, galima pasidaryt gi funkciją, kad dirbtų kajp tik nori..
Deiviux.eu
2010 birželio 30 11:06:49
Yra ir dar kitų būdų, pvz; jeigu žinani, kad $_GET kintamasis bus tik skaičius, pvz; vartotojo profilio id (profile.php?id=1) tai tada galima naudoti:
----------------------------------
Redagavo Deiviux.eu 2010 Bir. 30 12:06:38
Yra ir dar kitų būdų, pvz; jeigu žinani, kad $_GET kintamasis bus tik skaičius, pvz; vartotojo profilio id (profile.php?id=1) tai tada galima naudoti:
if(isset($_GET['id']) && isnum($_GET['id'])) {
$id = $_GET['id'];
//kodas
}
----------------------------------
Redagavo Deiviux.eu 2010 Bir. 30 12:06:38
maxas66
2010 liepos 1 09:07:22
Deiviux - isnum kartais ne php-fusion funkcija? Paprastai yra is_numeric() atlieka tą patį :-)
Deiviux - isnum kartais ne php-fusion funkcija? Paprastai yra is_numeric() atlieka tą patį :-)
ozzWANTED
2010 liepos 1 12:07:17
is_numeric(X) TRUE, kai: "42", 1337, "1e4", 9.1
is_num(X) TRUE, kai: "42", 1337
is_num(X) FALSE, kai: "1e4", 9.1
Taip, kad tikrai ne tą patį.
Karolis, klysti, Eizo0x variantas turi būti VISADA naudojamas. T.y. pats principas, pvz objektinio Php-Fusion atveju:
Turi būti visada ir naudojamas prieš visą kodą. Nesvarbu kad prarasi 0,000001 serverio resursų, bet šitas dalykas jau iškart saugo nuo žioplų klaidų. Dar tų skanavimų daug daugiau yra naudojama.
O vat jau po to kode, gali daryti papildomus tikrinimus.
Tik aš asmeniškai rekomenduoju naudoti stripinput (pasiimkit iš maincore.php kodą ir naudokit kur tik norit).
----------------------------------
Redagavo ozzWANTED 2010 Lie. 1 12:07:10
is_numeric(X) TRUE, kai: "42", 1337, "1e4", 9.1
is_num(X) TRUE, kai: "42", 1337
is_num(X) FALSE, kai: "1e4", 9.1
Taip, kad tikrai ne tą patį.
Karolis, klysti, Eizo0x variantas turi būti VISADA naudojamas. T.y. pats principas, pvz objektinio Php-Fusion atveju:
foreach($_GET as $key => $value) {
$_GET[$key] = $this->stripinput($value);
}
Turi būti visada ir naudojamas prieš visą kodą. Nesvarbu kad prarasi 0,000001 serverio resursų, bet šitas dalykas jau iškart saugo nuo žioplų klaidų. Dar tų skanavimų daug daugiau yra naudojama.
O vat jau po to kode, gali daryti papildomus tikrinimus.
Tik aš asmeniškai rekomenduoju naudoti stripinput (pasiimkit iš maincore.php kodą ir naudokit kur tik norit).
----------------------------------
Redagavo ozzWANTED 2010 Lie. 1 12:07:10
Kelmas
2010 liepos 2 23:07:44
Tokios funkcijos nėra. Tai nesuprantu iš kur tu tokia gauni. Primenu, kad kalbėjome apie PHP kintamųjų apsaugas, o ne PHP-Fusion TVS apsaugas.
----------------------------------
Redagavo Kelmas 2010 Lie. 2 23:07:59
<?php
echo is_num(7);
?>
Fatal error: Call to undefined function is_num() in Q:\{KVAILYS}\{TESTAMS}\test_3.php on line 2
Tokios funkcijos nėra. Tai nesuprantu iš kur tu tokia gauni. Primenu, kad kalbėjome apie PHP kintamųjų apsaugas, o ne PHP-Fusion TVS apsaugas.
----------------------------------
Redagavo Kelmas 2010 Lie. 2 23:07:59
ozzWANTED
2010 liepos 3 01:07:30
isnum(X)...
>> Primenu, kad kalbėjome apie PHP kintamųjų apsaugas, o ne PHP-Fusion TVS apsaugas.
O KAS YRA PHP-FUSION - vat kur klausimas.
Taigi atsakau - Php funkcijos + naujos php funkcijos apibrėžtos per kitas Php funkcijas.
Nėra skirtumo iš kokio TVS ar kur ištrauksi saugumo funkciją, esmė yra validavimas. Ir jeigu sakau, kad galima naudoti isnum(X) funkcija, vadinasi aš turiu omenyje copy-paste iš Php-F maincore.php failo tą funkciją ir naujok tu ją kur tik tais nori.
isnum(X)...
>> Primenu, kad kalbėjome apie PHP kintamųjų apsaugas, o ne PHP-Fusion TVS apsaugas.
O KAS YRA PHP-FUSION - vat kur klausimas.
Taigi atsakau - Php funkcijos + naujos php funkcijos apibrėžtos per kitas Php funkcijas.
Nėra skirtumo iš kokio TVS ar kur ištrauksi saugumo funkciją, esmė yra validavimas. Ir jeigu sakau, kad galima naudoti isnum(X) funkcija, vadinasi aš turiu omenyje copy-paste iš Php-F maincore.php failo tą funkciją ir naujok tu ją kur tik tais nori.
Rašyti komentarą
Prisijunkite, norėdami parašyti komentarą.
Reitingai
Balsuoti gali tik nariai.
Prašome prisijungti arba prisiregistruoti.
Prašome prisijungti arba prisiregistruoti.
|
