Autor Zpráva
vynalezce
Profil
Lze nějak bez použití databáze na příspěvky zabránit nepřihlášeným v zobrazování toho, co bylo napsáno na chat?
Pokud ano, jak?
Pozn. include ze souboru není nejbezpečnější.
Jan Tvrdík
Profil
vynalezce:
bez použití databáze
OT: Jaký je důvod dělat to bez databáze?

include ze souboru není nejbezpečnější
Na to jsi přišel kde?
vynalezce
Profil
„include ze souboru není nejbezpečnější“
Na to jsi přišel kde?

procházení adresářů je někde zapnuté, takto
taky google mno ale ten by to nemel najit a do robots to taky nebudu davat ale stejne

proc bez DB? nekde tady sem slysel ze na wz je limit na pozadavky na db a tohle by nebylo jedine takze...
Majkl578
Profil
vynalezce
procházení adresářů je někde zapnuté, takto
prochazeni lze rucne vypnout, stejne tak jako pristup do adresare
Pan X
Profil
Ale ani při vypnutí není v bezpečí. Include je asi stejně bezpečné jako heslo v JavaScriptu. V PHP je zajímavá funkce glob() viz. http://www.soom.cz/index.php?name=articles/show&aid=393

Je sice málo lidí kteří s tím umí a hlavně kteří by to dělali, ale include NENÍ bezpečné jak už vynalezce řekl
Jan Tvrdík
Profil
Pan X:
include NENÍ bezpečné
V tom případě neexistují bezpečené weby na PHP, protože include (require) používají snad všechny :)
Osobně si stojím za názorem, že include není nebezpečené, pokud má člověk základní znalosti zabezpečení.
yFang
Profil
Když už je vás tady tolik, co tvrdíte, že include není bezpečný, docela by mě zajímalo v čem konkrétně zpočívá to nebezpečí?
Jan Tvrdík
Profil
yFang:
Už jsem zjistil, odkud pravděpodobně pramení pocit nebezpečnosti include Pana X – článek PHP Include, který ve skutečnosti pojednává o PHP injection.
yFang
Profil
Jan Tvrdík
Zběžně jsem se na to podíval. Všechny příklady jsou jen nedostatečné ošetření kódu.
imploder
Profil
Na include jsem vyrobil takovou funkci, která by měla být bezpečná a přitom sama adresovat soubor podle URL (ale ne tím trubkovitým způsobem umožňujícím PHP-injection). Tady: http://bprhad.wz.cz/kousky/

Způsob, jak includovat stránky webu a možná úskalí se probíraly v tomto vlákně.

Vaše odpověď

Mohlo by se hodit


Prosím používejte diakritiku a interpunkci.

Ochrana proti spamu. Napište prosím číslo dvě-sta čtyřicet-sedm: