Начало Вход/Регистрация Помощ Tazi stranica s latinski bukwi
Области
 Новини
 Актуална тема
 Linux портали
 Справочник
 FAQ
   •Какво е Линукс?
 Въпроси-отговори
 Форуми
   •Трудова борса
   •Конкурс
 Статии
 Дистрибуции
   •Поръчка на CD
 Made In BG
 Файлове
 Връзки
 Галерия
 Конференции
Настройки
 Външен вид
 Предложения
 Направи си сам
И още ...
 За нас
 Линукс за българи ЕООД
 Линк към нас
 Предложения

Подкрепяно от:
TelePoint - Място за хора със свободни идеи

SiteGround

initLab

Adsys Group

SAP Bulgaria

Въпроси отговори
Въпрос: php nepriaten vypros
[Търси: ]

ВНИМАНИЕ: Използвайте форумите на сайта за дa зададете вашите въпроси.

Към началото |Добави въпрос |Отговори
 
Въпрос
От: kiril Дата: 11/19/2002
 Imam edno takova pitane: Bezopasno li e da si predavam
zaiavkite kym bazata po GET, t.e. stoinostite?
Naprimer: 

http://domain.com/subdom/index.php?id=12

Otdolu se izpylniava tova:

mysql_connect ("localhost", "root", "pass") or die ();
mysql_select_db("dbname") or die ();

$zaiavka_s = "SELECT * FROM `tblname` WHERE `id` = ".$id;
$zaiavka_q = mysql_query($zaiavka_s);
while($zaiavka_r = mysql_fetch_array($zaiavka_q))
{
 echo($$zaiavka_r["colname"]."
"); } Zabelejete, nikade ne proveriavam kakvo e $id. T.e. moje da byde vsichko - string, php i kakvoto i da e..... Az sediah tuka i probvah da pusna razni takiva ekstri: http://domain.com/subdom/index.php?id=12; require("../../nesto_gadno.php"); obache nisto ne stava. Vyprosyt mi e: moje li da se probie tova tuk ili e malko veroiatno?


Отговор #1
От: devane Дата: 11/19/2002
 ami hubavo e da si siguren che tova koeto predavash kato
 danni ne e promeneno .. primerno moje da polzvash
 quotemeta($id) za da razkarash vsichki php/html vazmojni
kodove koito da bydat izpolzvani zlonamereno



Отговор #2
От: zh Дата: 11/19/2002
 >Vyprosyt mi e: moje li da se probie tova tuk ili e malko
veroiatno?
URL: http://zez.org/article/articleview/69/2/


Отговор #3
От: d3j3jr Дата: 11/19/2002
polzvai $id = htmlspecialchars($_GET['id']); - no niama smisyl - nishto losho niama da ti se sluchi :)


Отговор #4
От: mironcho (mironcholinux__at__mail __точка__ bg)
Можеш да си "изчистваш" променливите и така:

if ( isset($_GET['id']) ) {
    $id = addslashes( strip_tags( trim( $_GET['id'] ) ) );
}

винаги е по добре, ако ще ползваш стойноста на променливата
в заявка, преди това да се увериш че няма да има неочаквана
стойност ;)


Отговор #5
От: kiril Дата: 11/19/2002
Mda....
 To e izsno che promenlivi i po post i po get ako stes i ot
cookie triabva da se proveriavat....



<< fat bad sector (2 ) | RedHat 8.0 PHP+MySQL (2 ) >>

 
© 2011-... Асоциация "Линукс за българи"
© 2007-2010 Линукс за българи ЕООД
© 1999-2006 Slavej Karadjov
Ако искате да препечатате или цитирате информация от този сайт прочетете първо това
Външния вид е направен от MOMCHE
Code Version: 1.0.8 H (Revision: 23-09-2011)
 
Изпълнението отне: 0 wallclock secs ( 0.07 usr + 0.01 sys = 0.08 CPU)