| Autor | Zpráva | ||
|---|---|---|---|
| CATerPILAR Profil |
#1 · Zasláno: 23. 8. 2007, 09:31:36
Je to veliká čunačinka když v url pošlu proměnou ve které je uložen část html kodu? Třeba obrázek.
...index.php?obr=<img src=.....>... ???? |
||
| Senyx Profil |
#2 · Zasláno: 23. 8. 2007, 09:39:28
Ano! protože si tuto část kódu bude moci kdokoli změnit k obrazu svému a pro tvé stránky to bude znamenat bezpečnostní hrozbu, neboť pro případného útočníka není problém spustit natvých stránkách jakýkoli skript.
|
||
| CATerPILAR Profil |
#3 · Zasláno: 23. 8. 2007, 10:05:28
Ale to může udělat každý, protože se tam běžně přenášejí proměnné. Stačí mrknout nahoru a vidím tam forum=3&topic=57027
Chtělo by to asi nějak kodovat. |
||
| nightfish Profil |
#4 · Zasláno: 23. 8. 2007, 10:08:17
CATerPILAR
Ale to může udělat každý, protože se tam běžně přenášejí proměnné. nemůže, protože většina alespoň trochu rozumných programátorů vstup od uživatele ošetří, což ale ty udělat nemůžeš, protože se na předávání kusů HTML spoléháš |
||
| CATerPILAR Profil |
#5 · Zasláno: 23. 8. 2007, 10:25:56
Zásadně používám GET a POST
|
||
| CATerPILAR Profil |
#6 · Zasláno: 23. 8. 2007, 10:27:55 · Upravil/a: CATerPILAR
Test:)
|
||
| nightfish Profil |
#7 · Zasláno: 23. 8. 2007, 10:30:05
Zásadně používám GET a POST
to je ovšem výhodné... nechápeš jednu věc - lidé, kteří používají parametry v URL k předávání nějakých údajů bojují proti tomu, aby jim tam někdo něco podstrčil - tzn. jak narazí na HTML kód, tak se jej zbaví ty naopak chceš pomocí URL předávat HTML kód, jenom už zřejmě nepoznáš, jestli jsi jej předal ty nebo útočník... to je díra jak kráva |
||
| CATerPILAR Profil |
#8 · Zasláno: 23. 8. 2007, 10:45:00
To chápu velmi dobře, proto nejraději používám POST tam nejni vidět vůbec nic:))) Tady jsem ovšem narazil na takový oříšek, kdy není zbytí a musel jsem použít url. Naštěstí se tato chlívárna děje uvnitři RS, takže přístup tam nikdo cizí nemá. Samozřejmě snažím se přijít na jiný způsob.
|
||
| Railbot Profil |
#9 · Zasláno: 23. 8. 2007, 10:51:33
Naštěstí se tato chlívárna děje uvnitři RS, takže přístup tam nikdo cizí nemá.
Nikdy nevíš. že je to uvnitř tím horší to je. |
||
| CATerPILAR Profil |
#10 · Zasláno: 23. 8. 2007, 11:04:22
Jen aby jste věděli čeho se to týká....Dělám si vlastní obrázkovou galerii pro tinyMCE editor. Ten jejich modul je placený. Projekt mám zatím v plenkách. Tak jak jsem to popisoval to funguje bezvadně až na ty proměnné. Těch se musím zbavit.
|
||
| nightfish Profil |
#11 · Zasláno: 23. 8. 2007, 11:12:17
CATerPILAR
a nešlo by ten kód uložit třeba do session? tu ti uživatel jen tak nezmění... |
||
| IkE Blaster Profil * |
#12 · Zasláno: 24. 8. 2007, 08:51:06
fakt si to myslis??? v ff jde zmenit v pohode (drive jsem to zkousel), v opere to tez jde, ale je to slozite
|
||
| Pilgrim Profil |
#13 · Zasláno: 25. 8. 2007, 14:53:48
Parametry v URL pouzivam jen k zobrazeni stranky. NIKDY bych do URL nedal neco co vyvola nejakou funkci pro sql dotaz apod.
|
||
| nightfish Profil |
#14 · Zasláno: 25. 8. 2007, 14:56:22
IkE Blaster
řekni mi, jak změníš obsah session, která je uložená na serveru, z prohlížeče jestli ty náhodou nemluvíš o cookies |
||
|
Časová prodleva: 17 let
|
|||
0