[LUGOS] Apapche in PHP parametri

[Miran Zerak]

Gregor Berginc wrote:
> Se enkrat, malo bolj podrobno
> 
> Gregor Berginc wrote:
> 
>> Zivjo,
>>
>>>> Kako naredit, da to ne bi bilo potrebno, ti pa ne povem, da se ne 
>>>> zakoljes po nepotrebnem.
>>
>>
>>
>> Ce se prav spomnim so to v novejsih verzijah PHP-ja ukinili zaradi 
>> varnosti. Sicer obstaja v nastavitvah (ne vem tocno katera), ampak 
>> mocno odsvetujejo.
> 
> 
> Ce to res nujno rabis, potem lahko naredis tako kot sem prej napisal. V 
> tem mailu ti zelim samo predstaviti moje videnje problema, ki ga na ta 
> nacin dobis.
> 
> Recimo, da imas skripto login.php, ki generira formo z dvema 
> parametroma: user in pass. Forma se posreduje na
> 
> login.php?user=bla&pass=user_pass
> 
> V tvoji formi imas ful hud security, ki v bazi preveri pravice za 
> uporabnika in geslo. V primeru, da je uporabnik veljaven, nastavis neko 
> spremenljivko, npr. $loginOK = true. In tu je tezava. Ce nisi dovolj 
> pazljiv, ti lahko nek zlonamernez poklice tvojo formo kot:
> 
> login.php?user=blu&pass=abrakadabra&loginOK=true
> 
> Mislim, da naprej ni potrebno vec razlagat... Torej, se enkrat, pazi! Na 
> tvojem mestu bi veliko raje kot spremenil tisto nastavitev, se malo 
> poskusil tezit ponudniku tiste kode oz. si vzel malo vec casa in naredil 
> kodo varno!
> 
> lp,
> Grega
> 

Ker si nimam kaj zacet..  :)

Zgornji problem resis tako:

na zacetku programa reces:
$loginOK = NULL;

in preveris kasneje tako..

if(!@empty($loginOK)) {
	#login je ok..
}



l.p.
Miran Marduk Žerak