[LUGOS] Apapche in PHP parametri
Gregor Berginc
gregor.berginc at guest.arnes.si
Wed Dec 1 09:09:36 CET 2004
Se enkrat, malo bolj podrobno
Gregor Berginc wrote:
> Zivjo,
>
>>> Kako naredit, da to ne bi bilo potrebno, ti pa ne povem, da se ne
>>> zakoljes po nepotrebnem.
>
>
> Ce se prav spomnim so to v novejsih verzijah PHP-ja ukinili zaradi
> varnosti. Sicer obstaja v nastavitvah (ne vem tocno katera), ampak mocno
> odsvetujejo.
Ce to res nujno rabis, potem lahko naredis tako kot sem prej napisal. V
tem mailu ti zelim samo predstaviti moje videnje problema, ki ga na ta
nacin dobis.
Recimo, da imas skripto login.php, ki generira formo z dvema
parametroma: user in pass. Forma se posreduje na
login.php?user=bla&pass=user_pass
V tvoji formi imas ful hud security, ki v bazi preveri pravice za
uporabnika in geslo. V primeru, da je uporabnik veljaven, nastavis neko
spremenljivko, npr. $loginOK = true. In tu je tezava. Ce nisi dovolj
pazljiv, ti lahko nek zlonamernez poklice tvojo formo kot:
login.php?user=blu&pass=abrakadabra&loginOK=true
Mislim, da naprej ni potrebno vec razlagat... Torej, se enkrat, pazi! Na
tvojem mestu bi veliko raje kot spremenil tisto nastavitev, se malo
poskusil tezit ponudniku tiste kode oz. si vzel malo vec casa in naredil
kodo varno!
lp,
Grega
More information about the lugos-list
mailing list