[LUGOS] Apapche in PHP parametri
Goran Kavrecic
list.gk at indea.si
Wed Dec 1 09:43:12 CET 2004
Gregor Berginc wrote:
> Se enkrat, malo bolj podrobno
>
> Gregor Berginc wrote:
>
>> Zivjo,
>>
>>>> Kako naredit, da to ne bi bilo potrebno, ti pa ne povem, da se ne
>>>> zakoljes po nepotrebnem.
>>
>>
>>
>> Ce se prav spomnim so to v novejsih verzijah PHP-ja ukinili zaradi
>> varnosti. Sicer obstaja v nastavitvah (ne vem tocno katera), ampak
>> mocno odsvetujejo.
>
>
> Ce to res nujno rabis, potem lahko naredis tako kot sem prej napisal. V
> tem mailu ti zelim samo predstaviti moje videnje problema, ki ga na ta
> nacin dobis.
>
> Recimo, da imas skripto login.php, ki generira formo z dvema
> parametroma: user in pass. Forma se posreduje na
>
> login.php?user=bla&pass=user_pass
>
> V tvoji formi imas ful hud security, ki v bazi preveri pravice za
> uporabnika in geslo. V primeru, da je uporabnik veljaven, nastavis neko
> spremenljivko, npr. $loginOK = true. In tu je tezava. Ce nisi dovolj
> pazljiv, ti lahko nek zlonamernez poklice tvojo formo kot:
>
> login.php?user=blu&pass=abrakadabra&loginOK=true
>
> Mislim, da naprej ni potrebno vec razlagat... Torej, se enkrat, pazi! Na
> tvojem mestu bi veliko raje kot spremenil tisto nastavitev, se malo
> poskusil tezit ponudniku tiste kode oz. si vzel malo vec casa in naredil
> kodo varno!
>
> lp,
> Grega
>
Ja, to poznam - bom pač popravljal. Trenutno ravno delam eno zadevo,
kjer bi to imelo katastrofalne posledice.
Verjetno te nastavitve nisem v celoti razumel in sem mislil, da
nasatvljenje parametrov nima veze s tem.
Hvala vsem,
Goran
More information about the lugos-list
mailing list