Ako zabranit aby uzivateli menili premenne v GET – PHP – Fórum – Programujte.com
 x   TIP: Přetáhni ikonu na hlavní panel pro připnutí webu

Ako zabranit aby uzivateli menili premenne v GET – PHP – Fórum – Programujte.comAko zabranit aby uzivateli menili premenne v GET – PHP – Fórum – Programujte.com

 

Koder
~ Anonymní uživatel
26 příspěvků
21. 1. 2007   #1
-
0
-

Mam guestbook , v ktorom vypisujem prispevky a rozdelujem ich podla poctu na
niekolko stranok. Pocet stranok a maximalny pocet prispevkov , ktory sa moze
zobrazit na stranke zistujem cez GET. Tympadom vsak hocikto moze tieto premenne
menit nemyslim ,ze to moze ohrozit bezpecnost(alebo ano ?) ,ale vadi mi to.
Neviete ako tomu zabranit ? popripade ako inak vypisovat prispevky?

Nahlásit jako SPAM
IP: ...–
21. 1. 2007   #2
-
0
-

1) pouzivej register_globals=off
2) Daty id klienta MUSIS VZDY KONTROLOVAT, jakakoliv data se daji podstrcit (vcetne POST dat). GET je zrovna ten pripad kde je to uplne nejjednodussi. Tam se tomu neda zabranit.

Nahlásit jako SPAM
IP: ...–
Prosím, jestli potřebujete s něčím poradit,zeptejte se na fóru. Jakýkoliv bezdůvodný pokus mě kontaktovat skončí okamžitým přidáním do ignore listu![br][br] Současný počet osob, které to nepochopily: 7
bugy0
Návštěvník
21. 1. 2007   #3
-
0
-

To Koder: no já si myslím, že v tom moc problém není, ikdyž záleží na tom, jak to máš naprogramovaný. Předpokládám, že si posíláš takovýto proměnný

diskuze.php?strana=2&pocet_prispevku_na_stranu=10
, takže pak jen podle toho omezíš výběr z databáze
... LIMIT 20,10
(za předpokladu že začínaš "nultou" stranou, aby se to líp počítalo).

Problém může být v přebíraní proměnných GET, musíš ošetřit, aby to byly čísla a ještě líp, když v případě "špatných hodnot" (kupříkladu pocet_prispevku_na_stranu by bylo rovno 0 nebo by byly zadáné hodnoty takové, že by to nevybralo žadné komentáře) tak nastavíš nějaké defaultní hodnoty.

Asi nejdůležitější je, aby ti SQL dotaz neházel chyby, když nevybere žadný příspěvek, tak s tím musí ten, kdo ti přepisoval hodnoty proměnných GET, smířit, ale normální návštěvníku se to nestane.

Nahlásit jako SPAM
IP: ...–
co takhle vyletět si na Měsíc ... mmm ... vomrknout jestli tam není náhodou vedle moře klidu taky moře něčeho rozumnějšího
Jakub0
Super člen
21. 1. 2007   #4
-
0
-

To Koder: Všechna vstupní data jdou podstrčit, proto je jen na programátrovi aby ošetřil nepovolené hodnoty.

Nahlásit jako SPAM
IP: ...–
Věřím, že můžete v životě získat všechno, co budete chtít, když budete pomáhat druhým lidem, aby dostali to, co si přejí oni. - Zig Ziglar TOPlist
Zjistit počet nových příspěvků

Přidej příspěvek

Toto téma je starší jak čtvrt roku – přidej svůj příspěvek jen tehdy, máš-li k tématu opravdu co říct!

Ano, opravdu chci reagovat → zobrazí formulář pro přidání příspěvku

×Vložení zdrojáku

×Vložení obrázku

Vložit URL obrázku Vybrat obrázek na disku
Vlož URL adresu obrázku:
Klikni a vyber obrázek z počítače:

×Vložení videa

Aktuálně jsou podporována videa ze serverů YouTube, Vimeo a Dailymotion.
×
 
Podporujeme Gravatara.
Zadej URL adresu Avatara (40 x 40 px) nebo emailovou adresu pro použití Gravatara.
Email nikam neukládáme, po získání Gravatara je zahozen.
-
Pravidla pro psaní příspěvků, používej diakritiku. ENTER pro nový odstavec, SHIFT + ENTER pro nový řádek.
Sledovat nové příspěvky (pouze pro přihlášené)
Sleduj vlákno a v případě přidání nového příspěvku o tom budeš vědět mezi prvními.
Reaguješ na příspěvek:

Uživatelé prohlížející si toto vlákno

Uživatelé on-line: 0 registrovaných, 77 hostů

 

Hostujeme u Českého hostingu       ISSN 1801-1586       ⇡ Nahoru Webtea.cz logo © 20032024 Programujte.com
Zasadilo a pěstuje Webtea.cz, šéfredaktor Lukáš Churý