[LUGOS] Apapche in PHP parametri

Gregor Berginc gregor.berginc at guest.arnes.si
Wed Dec 1 09:09:36 CET 2004


Se enkrat, malo bolj podrobno

Gregor Berginc wrote:
> Zivjo,
> 
>>> Kako naredit, da to ne bi bilo potrebno, ti pa ne povem, da se ne 
>>> zakoljes po nepotrebnem.
> 
> 
> Ce se prav spomnim so to v novejsih verzijah PHP-ja ukinili zaradi 
> varnosti. Sicer obstaja v nastavitvah (ne vem tocno katera), ampak mocno 
> odsvetujejo.

Ce to res nujno rabis, potem lahko naredis tako kot sem prej napisal. V 
tem mailu ti zelim samo predstaviti moje videnje problema, ki ga na ta 
nacin dobis.

Recimo, da imas skripto login.php, ki generira formo z dvema 
parametroma: user in pass. Forma se posreduje na

login.php?user=bla&pass=user_pass

V tvoji formi imas ful hud security, ki v bazi preveri pravice za 
uporabnika in geslo. V primeru, da je uporabnik veljaven, nastavis neko 
spremenljivko, npr. $loginOK = true. In tu je tezava. Ce nisi dovolj 
pazljiv, ti lahko nek zlonamernez poklice tvojo formo kot:

login.php?user=blu&pass=abrakadabra&loginOK=true

Mislim, da naprej ni potrebno vec razlagat... Torej, se enkrat, pazi! Na 
tvojem mestu bi veliko raje kot spremenil tisto nastavitev, se malo 
poskusil tezit ponudniku tiste kode oz. si vzel malo vec casa in naredil 
kodo varno!

lp,
Grega



More information about the lugos-list mailing list