Autor Zpráva
CATerPILAR
Profil
Je to veliká čunačinka když v url pošlu proměnou ve které je uložen část html kodu? Třeba obrázek.
...index.php?obr=<img src=.....>... ????
Senyx
Profil
Ano! protože si tuto část kódu bude moci kdokoli změnit k obrazu svému a pro tvé stránky to bude znamenat bezpečnostní hrozbu, neboť pro případného útočníka není problém spustit natvých stránkách jakýkoli skript.
CATerPILAR
Profil
Ale to může udělat každý, protože se tam běžně přenášejí proměnné. Stačí mrknout nahoru a vidím tam forum=3&topic=57027
Chtělo by to asi nějak kodovat.
nightfish
Profil
CATerPILAR
Ale to může udělat každý, protože se tam běžně přenášejí proměnné.
nemůže, protože většina alespoň trochu rozumných programátorů vstup od uživatele ošetří, což ale ty udělat nemůžeš, protože se na předávání kusů HTML spoléháš
CATerPILAR
Profil
Zásadně používám GET a POST
CATerPILAR
Profil
Test:)
nightfish
Profil
Zásadně používám GET a POST
to je ovšem výhodné...

nechápeš jednu věc - lidé, kteří používají parametry v URL k předávání nějakých údajů bojují proti tomu, aby jim tam někdo něco podstrčil - tzn. jak narazí na HTML kód, tak se jej zbaví
ty naopak chceš pomocí URL předávat HTML kód, jenom už zřejmě nepoznáš, jestli jsi jej předal ty nebo útočník... to je díra jak kráva
CATerPILAR
Profil
To chápu velmi dobře, proto nejraději používám POST tam nejni vidět vůbec nic:))) Tady jsem ovšem narazil na takový oříšek, kdy není zbytí a musel jsem použít url. Naštěstí se tato chlívárna děje uvnitři RS, takže přístup tam nikdo cizí nemá. Samozřejmě snažím se přijít na jiný způsob.
Railbot
Profil
Naštěstí se tato chlívárna děje uvnitři RS, takže přístup tam nikdo cizí nemá.
Nikdy nevíš. že je to uvnitř tím horší to je.
CATerPILAR
Profil
Jen aby jste věděli čeho se to týká....Dělám si vlastní obrázkovou galerii pro tinyMCE editor. Ten jejich modul je placený. Projekt mám zatím v plenkách. Tak jak jsem to popisoval to funguje bezvadně až na ty proměnné. Těch se musím zbavit.
nightfish
Profil
CATerPILAR
a nešlo by ten kód uložit třeba do session? tu ti uživatel jen tak nezmění...
IkE Blaster
Profil *
fakt si to myslis??? v ff jde zmenit v pohode (drive jsem to zkousel), v opere to tez jde, ale je to slozite
Pilgrim
Profil
Parametry v URL pouzivam jen k zobrazeni stranky. NIKDY bych do URL nedal neco co vyvola nejakou funkci pro sql dotaz apod.
nightfish
Profil
IkE Blaster
řekni mi, jak změníš obsah session, která je uložená na serveru, z prohlížeče
jestli ty náhodou nemluvíš o cookies

Vaše odpověď


Prosím používejte diakritiku a interpunkci.

Ochrana proti spamu. Napište prosím číslo dvě-sta čtyřicet-sedm: