לוגו אתר Fresh          
 
 
  אפשרות תפריט  ראשי     אפשרות תפריט  צ'אט     אפשרות תפריט  מבזקים     אפשרות תפריט  צור קשר     חץ שמאלה ‎print ‎"Hello World!"; if‎ ‎not rules.‎know ‎then rules.‎read(); חץ ימינה  

לך אחורה   לובי הפורומים > מחשבים > תכנות ובניית אתרים
רענן עמוד זה שאלה לגבי אבטחה - פונקציית get
שמור לעצמך קישור לדף זה באתרי שמירת קישורים חברתיים
תגובה
« לאשכול הקודם | לאשכול הבא »
 
כלי אשכול חפש באשכול זה



  #1  
ישן 28-06-2007, 18:10
  liran123 liran123 אינו מחובר  
 
חבר מתאריך: 17.04.06
הודעות: 461
שאלה לגבי אבטחה - פונקציית get
שלום,
רציתי לדעת באיזה מקרים יש סיכונים בשימוש בפונקציה הזאת?
השתמשתי בה רק לבחור עמודות מסויימות ולפלוט. הגדרתי את ה-get כמספר (int).
האם זה מאובטח מספיק או לא?


תודה מראש.
תגובה ללא ציטוט תגובה עם ציטוט חזרה לפורום
  #2  
ישן 28-06-2007, 18:18
  משתמש זכר Web Web אינו מחובר  
 
חבר מתאריך: 07.12.04
הודעות: 2,153
שלח הודעה דרך ICQ אל Web שלח הודעה דרך MSN אל Web Facebook profile
אני מניח מתכוון למטודת העברת הנתונים GET
בתגובה להודעה מספר 1 שנכתבה על ידי liran123 שמתחילה ב "שאלה לגבי אבטחה - פונקציית get"
הסכנה היא בעיקר בsql injection, שיוכלו להחליף ערכים בקלות.
זה תלוי, אם בדקת שאותו משתמש יכול לצפות בעמוד כשפרמטר שהעברת הוא בערך שהעברת אז זה בסדר כי אז למשל ביטלת את האפשרות שמשתמש יוכל לקבל גישה לכל הפרופילים או כד דבר אחר בסגנון.
תגובה ללא ציטוט תגובה עם ציטוט חזרה לפורום
  #3  
ישן 28-06-2007, 20:11
  liran123 liran123 אינו מחובר  
 
חבר מתאריך: 17.04.06
הודעות: 461
בתגובה להודעה מספר 2 שנכתבה על ידי Web שמתחילה ב "אני מניח מתכוון למטודת העברת הנתונים GET"
תודה על התגובה.
מדובר ב-RSS לפורומים. ה-get מקבל את מספר הפורום, ולפיו מציג את העדכונים.
הבדיקה היחידה שעשיתי זה אם המספר קטן מ-1 או שווה ל-3 (פורום מנהלים), אזי הכנס את הערך ה-1.
וזה הקוד:
קוד PHP:
 $_GET['id']=(int) $_GET['id'];

if ($_GET['id'] < or $_GET['id'] = 3)
{
$_GET['id'] = 1;
}
mysql_connect('localhost','user','pass');
mysql_select_db('dbname') or die("ERROR: ".mysql_error()); 


זה מאובטח מספיק, או שצריך לנקוט בעוד צעדים?
תגובה ללא ציטוט תגובה עם ציטוט חזרה לפורום
  #4  
ישן 29-06-2007, 15:11
  DCD DCD אינו מחובר  
 
חבר מתאריך: 17.05.05
הודעות: 7,321
בתגובה להודעה מספר 3 שנכתבה על ידי liran123 שמתחילה ב "תודה על התגובה. מדובר ב-RSS..."
אם אין לך פורום שמספרו 0, אז זה מצוין מה שכתבת.
תגובה ללא ציטוט תגובה עם ציטוט חזרה לפורום
  #5  
ישן 29-06-2007, 17:09
  Omri.L Omri.L אינו מחובר  
 
חבר מתאריך: 21.01.05
הודעות: 418
בתגובה להודעה מספר 3 שנכתבה על ידי liran123 שמתחילה ב "תודה על התגובה. מדובר ב-RSS..."
תבדוק אם מדובר במספר, עם הפונקציה is_numeric
תגובה ללא ציטוט תגובה עם ציטוט חזרה לפורום
  #6  
ישן 29-06-2007, 17:22
  DCD DCD אינו מחובר  
 
חבר מתאריך: 17.05.05
הודעות: 7,321
בתגובה להודעה מספר 5 שנכתבה על ידי Omri.L שמתחילה ב "תבדוק אם מדובר במספר, עם..."
זה חייב להיות מספר...הוא הגדיר את זה כ- int
תגובה ללא ציטוט תגובה עם ציטוט חזרה לפורום
  #7  
ישן 29-06-2007, 18:23
  liran123 liran123 אינו מחובר  
 
חבר מתאריך: 17.04.06
הודעות: 461
בתגובה להודעה מספר 1 שנכתבה על ידי liran123 שמתחילה ב "שאלה לגבי אבטחה - פונקציית get"
תודה רבה עזרתם לי מאד.
תגובה ללא ציטוט תגובה עם ציטוט חזרה לפורום
תגובה
« לאשכול הקודם | לאשכול הבא »

כלי אשכול חפש באשכול זה
חפש באשכול זה:

חיפוש מתקדם
מצבי תצוגה דרג אשכול זה
מצב כלאיים מצב כלאיים
דרג אשכול זה:

מזער את תיבת המידע אפשרויות משלוח הודעות
אתה לא יכול לפתוח אשכולות חדשים
אתה לא יכול להגיב לאשכולות
אתה לא יכול לצרף קבצים
אתה לא יכול לערוך את ההודעות שלך
קוד vB פעיל
קוד [IMG] פעיל
קוד HTML כבוי
מעבר לפורום



כל הזמנים המוצגים בדף זה הם לפי איזור זמן GMT +2. השעה כעת היא 10:05

הדף נוצר ב 0.03 שניות עם 11 שאילתות
צור קשר - Fresh - למעלה

הפורום מבוסס על vBulletin, גירסא 3.0.6
כל הזכויות לתוכנת הפורומים שמורות © 2025 - 2000 לחברת Jelsoft Enterprises.
כל הזכויות שמורות ל Fresh.co.il ©

צור קשר | תקנון האתר