[LUGOS] Apapche in PHP parametri

Goran Kavrecic list.gk at indea.si
Wed Dec 1 09:43:12 CET 2004



Gregor Berginc wrote:
> Se enkrat, malo bolj podrobno
> 
> Gregor Berginc wrote:
> 
>> Zivjo,
>>
>>>> Kako naredit, da to ne bi bilo potrebno, ti pa ne povem, da se ne 
>>>> zakoljes po nepotrebnem.
>>
>>
>>
>> Ce se prav spomnim so to v novejsih verzijah PHP-ja ukinili zaradi 
>> varnosti. Sicer obstaja v nastavitvah (ne vem tocno katera), ampak 
>> mocno odsvetujejo.
> 
> 
> Ce to res nujno rabis, potem lahko naredis tako kot sem prej napisal. V 
> tem mailu ti zelim samo predstaviti moje videnje problema, ki ga na ta 
> nacin dobis.
> 
> Recimo, da imas skripto login.php, ki generira formo z dvema 
> parametroma: user in pass. Forma se posreduje na
> 
> login.php?user=bla&pass=user_pass
> 
> V tvoji formi imas ful hud security, ki v bazi preveri pravice za 
> uporabnika in geslo. V primeru, da je uporabnik veljaven, nastavis neko 
> spremenljivko, npr. $loginOK = true. In tu je tezava. Ce nisi dovolj 
> pazljiv, ti lahko nek zlonamernez poklice tvojo formo kot:
> 
> login.php?user=blu&pass=abrakadabra&loginOK=true
> 
> Mislim, da naprej ni potrebno vec razlagat... Torej, se enkrat, pazi! Na 
> tvojem mestu bi veliko raje kot spremenil tisto nastavitev, se malo 
> poskusil tezit ponudniku tiste kode oz. si vzel malo vec casa in naredil 
> kodo varno!
> 
> lp,
> Grega
> 

  Ja, to poznam - bom pač popravljal. Trenutno ravno delam eno zadevo, 
kjer bi to imelo katastrofalne posledice.
  Verjetno te nastavitve nisem v celoti razumel in sem mislil, da 
nasatvljenje parametrov nima veze s tem.

Hvala vsem,
Goran



More information about the lugos-list mailing list