| Autor | Zpráva | ||
|---|---|---|---|
| simka00 Profil |
#1 · Zasláno: 13. 8. 2006, 22:31:01
dá se spolehnout např. na omezení maxlength v html formulářích, nebo je lepší to ještě projet na serveru?
napadá mě další příklad: položka <select>, ve které si uživatel může vybrat jen platnou hodnotu. hrozí zde vůbec sql injection? nedávno jsem si totiž koupil nějakou knížku o PHP5 a tam se píše, že pro potenciálního útočníka není problém něco změnit ve výchozím html formuláři. já si osobně nedovedu představit, jak změnit kód na cizích stránkách. |
||
| koudi Profil |
#2 · Zasláno: 13. 8. 2006, 22:33:49
dá se spolehnout
Ne hrozí zde vůbec sql injection? Ano já si osobně nedovedu představit, jak změnit kód na cizích stránkách. Poměrně jednoduše. |
||
| simka00 Profil |
#3 · Zasláno: 13. 8. 2006, 22:35:39
koudi
Poměrně jednoduše. nějaký příklad? |
||
| souki Profil |
#4 · Zasláno: 13. 8. 2006, 22:36:06
simka00
krom toho, že může odeslat formulář ze svých stránek tvému skriptu, tak to jde i jednodušeji. Například pro Firefox je běžný plugin WebDeveloper. Krom jiného umí měnit formuláře přímo na stránce. Takže omezení typu maxlength se odstraní jedním kliknutím :) |
||
| simka00 Profil |
#5 · Zasláno: 13. 8. 2006, 22:37:58
souki
áha. jdu zkoušet bezpečnost serverů :) |
||
| koudi Profil |
#6 · Zasláno: 13. 8. 2006, 22:58:45
krom toho, že může odeslat formulář ze svých stránek tvému skriptu, tak to jde i jednodušeji. Například pro Firefox je běžný plugin WebDeveloper. Krom jiného umí měnit formuláře přímo na stránce. Takže omezení typu maxlength se odstraní jedním kliknutím :)
Přesně tak. |
||
| koudi Profil |
#7 · Zasláno: 13. 8. 2006, 23:01:35
Ještě dodám, že WebDeveloperTollbar umí taky 'za běhu' editvat css a co je podstatnější tak i html. Takže na co nemá přímo tlačítko, tak se dá i vyeditovat ručně.
|
||
| simka00 Profil |
#8 · Zasláno: 13. 8. 2006, 23:32:07
webdeveloper toolbar jsem měl, ale některé funkce jsem asi přehlédnul...
|
||
| koudi Profil |
#9 · Zasláno: 13. 8. 2006, 23:43:56
webdeveloper toolbar jsem měl
A už nemáš? Já už si to bez něj dneska nedovedu představit. |
||
| simka00 Profil |
#10 · Zasláno: 14. 8. 2006, 10:33:35
koudi
neměl, teď už mám. systém pana billa se mi totiž podařilo nerozjet, tak se mi všechny programy vytratily. |
||
| habendorf Profil |
#11 · Zasláno: 14. 8. 2006, 12:03:22
Další velmi jednoduchý způsob jak pozměnit za běhu formulář je maličký bookmarklet.
|
||
| srigi Profil |
#12 · Zasláno: 14. 8. 2006, 13:58:48
Vzdy musis testovat polozky z formularov na strane servera. Testovanie pomocou JS a HTML na strane klienta, je len na zlepsenie funkcnosti aplikacie - pre sektetarky co nadrbu do policka "datum" nejaku slovnu vetu.
|
||
| mila Profil |
#13 · Zasláno: 14. 8. 2006, 15:50:04
Je třeba si uvědomi, že odeslání formuláře je jen http požadavek na nějaký server. Tzn. pár hlaviček a pak obsah formuláře jako text poslaný po internetu.
Když zpracováváš formulář, tak vůbec nevíš odkud přišel, prostě se spustí skript, který zpracovává ten kus textu, co přišel po internetu. Tzn. může přijít naprosto cokoli, i to, co žádný prohlížeč nedokáže vytvořit. Např. spam roboti jen málokdy vyplňují nějaký formulář. Naučí se, co funguje, a pak jen posílají tyto požadavky. |
||
|
Časová prodleva: 18 let
|
|||
Toto téma je uzamčeno. Odpověď nelze zaslat.
0