Autor Zpráva
simka00
Profil
dá se spolehnout např. na omezení maxlength v html formulářích, nebo je lepší to ještě projet na serveru?
napadá mě další příklad: položka <select>, ve které si uživatel může vybrat jen platnou hodnotu. hrozí zde vůbec sql injection?

nedávno jsem si totiž koupil nějakou knížku o PHP5 a tam se píše, že pro potenciálního útočníka není problém něco změnit ve výchozím html formuláři. já si osobně nedovedu představit, jak změnit kód na cizích stránkách.
koudi
Profil
dá se spolehnout
Ne

hrozí zde vůbec sql injection?
Ano

já si osobně nedovedu představit, jak změnit kód na cizích stránkách.
Poměrně jednoduše.
simka00
Profil
koudi
Poměrně jednoduše.
nějaký příklad?
souki
Profil
simka00
krom toho, že může odeslat formulář ze svých stránek tvému skriptu, tak to jde i jednodušeji. Například pro Firefox je běžný plugin WebDeveloper. Krom jiného umí měnit formuláře přímo na stránce. Takže omezení typu maxlength se odstraní jedním kliknutím :)
simka00
Profil
souki
áha. jdu zkoušet bezpečnost serverů :)
koudi
Profil
krom toho, že může odeslat formulář ze svých stránek tvému skriptu, tak to jde i jednodušeji. Například pro Firefox je běžný plugin WebDeveloper. Krom jiného umí měnit formuláře přímo na stránce. Takže omezení typu maxlength se odstraní jedním kliknutím :)

Přesně tak.
koudi
Profil
Ještě dodám, že WebDeveloperTollbar umí taky 'za běhu' editvat css a co je podstatnější tak i html. Takže na co nemá přímo tlačítko, tak se dá i vyeditovat ručně.
simka00
Profil
webdeveloper toolbar jsem měl, ale některé funkce jsem asi přehlédnul...
koudi
Profil
webdeveloper toolbar jsem měl
A už nemáš? Já už si to bez něj dneska nedovedu představit.
simka00
Profil
koudi
neměl, teď už mám. systém pana billa se mi totiž podařilo nerozjet, tak se mi všechny programy vytratily.
habendorf
Profil
Další velmi jednoduchý způsob jak pozměnit za běhu formulář je maličký bookmarklet.
srigi
Profil
Vzdy musis testovat polozky z formularov na strane servera. Testovanie pomocou JS a HTML na strane klienta, je len na zlepsenie funkcnosti aplikacie - pre sektetarky co nadrbu do policka "datum" nejaku slovnu vetu.
mila
Profil
Je třeba si uvědomi, že odeslání formuláře je jen http požadavek na nějaký server. Tzn. pár hlaviček a pak obsah formuláře jako text poslaný po internetu.
Když zpracováváš formulář, tak vůbec nevíš odkud přišel, prostě se spustí skript, který zpracovává ten kus textu, co přišel po internetu. Tzn. může přijít naprosto cokoli, i to, co žádný prohlížeč nedokáže vytvořit.
Např. spam roboti jen málokdy vyplňují nějaký formulář. Naučí se, co funguje, a pak jen posílají tyto požadavky.
Toto téma je uzamčeno. Odpověď nelze zaslat.