 |
|
Модераторы: skyboy, MoLeX, Aliance, ksnk |
 
|
|
Предотвращение выполнения скриптов, Взлом сайта передачей скрипта через GET 
| ammonit |
|
|||
|
Новичок Профиль Группа: Участник Сообщений: 2 Регистрация: 14.3.2007 Репутация: нет Всего: нет |
Если где-либо на сайте есть вывод переменных переданных методом GET (например:
) то если набрать в качестве параметра какой-либо скрипт - он выведется в html код и автоматически выполнится. Как этого можно избежать? (кроме варианта не выводить переменные и проверки каждой переменной перед выводом) Слышал это делается то ли через настройки Apache, то ли через настройки PHP... |
|||
|
||||
Загрузка ...
| mishaSL |
|
||||
 Эксперт  Профиль Группа: Участник Клуба Сообщений: 1046 Регистрация: 10.1.2007 Где: Санкт-Петербург Репутация: 19 Всего: 54 |
Не будет он выполняться. Приведите подробный пример.
через mod_rewrite разрешать только те данные которые должны быть в переменных. через PHP, перед с самом начале скрипта проверять массив $_GET, и выризать все что не нужно. А еще лучше и то и другое. -------------------- Лучший способ научиться программированию - это посмотреть как это делают другие... |
||||
|
|||||
| GZep |
|
|||
 участник Винграда Профиль Группа: Завсегдатай Сообщений: 1528 Регистрация: 7.7.2006 Где: Москва Репутация: 8 Всего: 32 |
Используйте url_encode.
--------------------   |
|||
|
||||
| ammonit |
|
||||||||||
|
Новичок Профиль Группа: Участник Сообщений: 2 Регистрация: 14.3.2007 Репутация: нет Всего: нет |
Передаем:
Получаем:
Что мешает скрипту выполнится?
Спасибо за помощь! Это сообщение отредактировал(а) ammonit - 14.3.2007, 21:39 |
||||||||||
|
|||||||||||
| mishaSL |
|
||||||||||
|
Эксперт Профиль Группа: Участник Клуба Сообщений: 1046 Регистрация: 10.1.2007 Где: Санкт-Петербург Репутация: 19 Всего: 54 |
Чтобы вывелось $_GET['id'] нужно сделать хотябы так:
Либо вывод идет через какой-нибудь шаблонизатор.
Как минимум сервер экранирует кавычки. Если даже без кавычек, то что толку от этого javascript-a. Ссылки на этот урл с сайта у тебя же не будет, ну порадуется человек  А если у тебя переменная потом в запрос к базе идет, то ее в любом случае надо дополнительно обработать.А на деле советую использовать оба метода:
как минимум вырезать из массива _GET символы: <, >, http, ftp, https, : -------------------- Лучший способ научиться программированию - это посмотреть как это делают другие... |
||||||||||
|
|||||||||||
| Elfet |
|
|||
 Белый и Пушистый Профиль Группа: Awaiting Authorisation Сообщений: 3776 Регистрация: 2.4.2003 Репутация: нет Всего: 16 |
htmlspecialchars?
 |
|||
|
||||
| $дмитрий |
|
|||
 Эксперт Профиль Группа: Завсегдатай Сообщений: 1037 Регистрация: 19.6.2004 Репутация: 17 Всего: 45 |
|
|||
|
||||
| Feldmarschall |
|
|||
|
Новичок Профиль Группа: Участник Сообщений: 2641 Регистрация: 11.12.2007 Репутация: 22 Всего: 32 |
Elfet, зачем отвечать на вопрос, который задавали год назад?
Тем более - не имеющий смысла вопрос. |
|||
|
||||
| Elfet |
|
|||
|
Белый и Пушистый Профиль Группа: Awaiting Authorisation Сообщений: 3776 Регистрация: 2.4.2003 Репутация: нет Всего: 16 |
Feldmarschall, прости не заметил
|
|||
|
||||
|
|
| Правила форума "PHP" | |
|
|
Новичкам:
Важно:
Внимание:
Если Вам понравилась атмосфера форума, заходите к нам чаще! С уважением, IZ@TOP, skyboy, SamDark, MoLeX, awers. |
| 1 Пользователей читают эту тему (1 Гостей и 0 Скрытых Пользователей) | |
| 0 Пользователей: | |
| « Предыдущая тема | PHP: Общие вопросы | Следующая тема » |
[ Время генерации скрипта: 0.0815 ] [ Использовано запросов: 21 ] [ GZIP включён ]
Реклама на сайте Информационное спонсорство
|
|
По вопросам размещения рекламы пишите на vladimir(sobaka)vingrad.ru
Отказ от ответственности Powered by Invision Power Board(R) 1.3 © 2003 IPS, Inc. |