Вопрос про безопасность сессии

Последняя активность
Файлы топика
778
.
localhost
14 янв 2012 г., 20:23
OnLine Quest Game
vermas (14.01.2012/17:08)
localhost, фильтруй, htmlspecialchars() в помошь, а то запустят жаваскрипт или просто испортят разметку.
это при выводе?
.
Koenig
14 янв 2012 г., 20:28
(\/)____o_O____(\/)
localhost, Да там такой же вывод будет как и после htmlspecialchars
.
k_2
14 янв 2012 г., 21:46
Изменено
localhost (12.01.2012/12:51)
...
Я так понимаю что кроме как подстановка и вывод любого файла в папке тест,больше ничего нельзя набедокурить? ...
Наивный гг.
Простым запросом http://сайт/папка/страница.php ... y.php
подключим файл из форума или из любого другого места на сайте.

Незря в двиге везде указаны массивы с перечнем допустимых подключаемых файлов.
Пример:
$mods = array(
    'addfile',
    'addvote',
    'close',
    'deltema',
    'delvote',
    'editpost',
    'editvote',
    'file',
    'files',
    'filter',
    'loadtem',
    'vote',
    'who'
);
if ($act && ($key = array_search($act, $mods)) !== false && file_exists('includes/' . $mods[$key] . '.php')) {
    require('includes/' . $mods[$key] . '.php');
}
.
localhost
14 янв 2012 г., 22:08
OnLine Quest Game
k_2 (14.01.2012/18:46)
Наивный гг.
Простым запросом http://сайт/папка/страница.php ... y.php
подключим файл из форума или из любого другого места на сайте.

Незря в двиге везде указаны масси
никак ты не подключишь,так как скрипт будет искать папки и файлы только в определенной папке,в данном случае инклуде.
.
localhost
14 янв 2012 г., 22:13
OnLine Quest Game
k_2 (14.01.2012/18:46)
Наивный гг.
Простым запросом http://сайт/папка/страница.php ... y.php
подключим файл из форума или из любого другого места на сайте.

Незря в двиге везде указаны масси
Блин,точно.
Извини за наезд,в самом деле смог вызвать но при условии что в некодированном виде.
.
k_2
14 янв 2012 г., 22:16
localhost (14.01.2012/19:13)
Блин,точно.
Извини за наезд,в самом деле смог вызвать но при условии что в некодированном виде.
Ну так зная чем кодируется можно и закодированный запрос подставить гг.
Я тебе привёл пример безопасного подключения файлов.
.
localhost
14 янв 2012 г., 22:17
OnLine Quest Game
Блин,хотя нет,нельзя,щас все прошмонал,нельзя и все
.
k_2
14 янв 2012 г., 22:21
Изменено
localhost (14.01.2012/19:17)
Блин,хотя нет,нельзя,щас все прошмонал,нельзя и все
Что именно нельзя?
Если ты про подключение сторонних файлов, то я немного неправильный пример дал, расширение в конце писать ненадо.
http://сайт/папка/страница.php ... s/say
.
localhost
14 янв 2012 г., 22:23
OnLine Quest Game
k_2 (14.01.2012/19:21)
Что именно нельзя?
Если ты про подключение сторонних файлов, то я немного неправильный пример дал, расширение в конце писать недо.
http://сайт/папка/страница.php ... s/say
Прикол в том что,скрипт на выдаче дает файл который зашифрован,то есть он его расшифровывает и выдает,а вот если вместо зашифрованного он берет не зашифрованный то тогда либо его выкидывает мол нет такой страницы либо тупо дает главную
Щас пример в личку скину.
.
Windler
15 янв 2012 г., 1:57
localhost (14.01.2012/15:55)
Опять же вопросы про безопасность.
Задача.
Есть данные которые передаются методом пост.
эти данные перед записью в базу фильтруются функцией check от джон 3.2.2
Из базы данные выводятся без какого
Это без опасно..функция возвращает код символа #100500; - как то так, выводя их сервер их преобразует в обычный текст..
Всего: 40
© 2024, JohnCMS