Autor | Zpráva | ||
---|---|---|---|
Jenicek Profil |
#1 · Zasláno: 7. 2. 2013, 17:47:54
co považujete za nejlepší ochranu při $_GET...?
a jakou ochranu používáte? |
||
tiso Profil |
#2 · Zasláno: 7. 2. 2013, 17:49:45
Jenicek: čo si pod tým mám predstaviť?
|
||
lorin Profil |
#3 · Zasláno: 7. 2. 2013, 18:02:34
Ochranou je kontrolovat to, co v jednotlivých proměnných ve výsledku máš. Protože tomu, aby si do adresy uživatel napsal blbosti nijak nezabráníš.
|
||
Jenicek Profil |
#4 · Zasláno: 7. 2. 2013, 18:10:47
myslel jsem všeobecnou ochranu... co používáte a co doporučujete :)
samozřejmě to myslím napadení hackerem a podobným svinstvem :D jde o vyhledávání... zda tam někdo napíše nesmysl to je dost možné ale tím mi na webu neublíží :D |
||
juriad Profil |
#5 · Zasláno: 7. 2. 2013, 18:18:59
Jednou vetou: nikdy never uzivateli, vzdy se vstupem pracuj, jako by pochazel od toho nejfikanejsiho utocnika.
Nic univerzalniho neexistuje, muzes jen premyslet jako oni a predstavit si nejhorsi mozny vstup a i pro ten se musi tva aplikace chovat korektne. Projdi vsechna mista pouziti vstupu a zanalyzuj, co by mohlo zpusobit problemy. |
||
Rfilip Profil |
Předpokládám že výsledky vyhledáváš v databázi, je potřeba se escapováním nebezpečných znaků chránit před Sql injection používáním rozhraní mysqli konkrétně třídy mysqli_stmt která escapuje automaticky.
|
||
Davex Profil |
Jenicek:
„myslel jsem všeobecnou ochranu...“ Není žádná všeobecná ochrana vstupu, protože záleží na tom, co s tím chceš zrovna udělat. „co používáte a co doporučujete“ Doporučuji escapovat. Studium můžeš začít třeba na http://phpfashion.com/escapovani-definitivni-prirucka. Nicméně by se mělo doplnit, že u funkcí, které mají volitelný parametr určující kódování, by se měl používat povinně, aby nedocházelo k neočekávaným výsledkům. Např.: // text na stránce v kódování windows-1250 nebo iso-8859-2 echo htmlspecialchars($_GET['text'], ENT_QUOTES, 'ISO-8859-1'); // text na stránce v kódování UTF-8 echo htmlspecialchars($_GET['text'], ENT_QUOTES, 'UTF-8'); |
||
Micrussak Profil * |
#8 · Zasláno: 7. 2. 2013, 21:41:00
Ochrana GET? když je to číslo tak třeba...
$id = intval($_GET['id']); // pak třeba jsem dal, že když bude ID 0 tak ať mu to hodí error stránku if($_GET['id']==0) { echo'třeba text nebo'; Header("LOCATION: index.php"); } |
||
Časová prodleva: 6 dní
|
|||
Jenicek Profil |
#9 · Zasláno: 13. 2. 2013, 19:36:57
Micrussak:
„Ochrana GET? když je to číslo tak třeba...“ ve vyhledávání na webu se málo kdy používají pouze čísla :D možná v rozšířeném ale to není můj případ :) |
||
Časová prodleva: 11 let
|
0