[טיפ] איך לדעת שה ACT שהכניסו הוא תקין - הוסטס

tnadav · 22-12-06, 21:22

ציטוט:

נכתב במקור על ידי psycho

נשמה, כמה מניפולציות על ה משתנה שמתקבל ב GET וישר רץ ל INCLUDE ואני נחשף לכלכך הרבה פירצות אבטחה.

לא עדיף פשוט לעבוד נטו עם מסד?
או במקרה הכי גרוע ובא לי להשקיע עוד דקה ולעבוד עם MOD REWRITE

ואיזה מניפולציות?..
אתה יודע מה? הנה קוד שאני מביא לך ותמצא לו פירצה:

PHP קוד:


			
<?php
include("db.php"); //connecting to DataBase!
//------------------------------------------------------------
$query = mysql_query("SELECT `acts` FROM `sitedna`");

while($info=mysql_fetch_array($query))
    $acts[] = $info['acts'];
//------------------------------------------------------------
if(in_array($_GET['act'], $acts)
{    
    if(file_exists($_GET['act'].".php")
        include($_GET['act'].".php");
}
?>

כמו שאתה רואה, קוד פשוטף בלי שטויות של תחזוק.
תמצא חור אבטחה, אני יתקן, תמצא עוד אחד, אני יתקן...

RS324 · 22-12-06, 21:43

ציטוט:

נכתב במקור על ידי tnadav

ואיזה מניפולציות?..
אתה יודע מה? הנה קוד שאני מביא לך ותמצא לו פירצה:

PHP קוד:


			
<?php

include("db.php"); //connecting to DataBase!

//------------------------------------------------------------

$query = mysql_query("SELECT `acts` FROM `sitedna`");



while($info=mysql_fetch_array($query))

    $acts[] = $info['acts'];

//------------------------------------------------------------

if(in_array($_GET['act'], $acts)

{    

    if(file_exists($_GET['act'].".php")

        include($_GET['act'].".php");

}

?>

כמו שאתה רואה, קוד פשוטף בלי שטויות של תחזוק.
תמצא חור אבטחה, אני יתקן, תמצא עוד אחד, אני יתקן...

אם REGISTER_GLOBALS דולקים אז כן יכולה להיות לך בעיה..

אבל נדלק על הקטע הזה...
מה הרעיון פה... בכל מקרה אתה צריך לכתוב את כל ה ACT האפשריים - אז פשוט תדחוף את זה ב SWITCH

מבחינה של יעילות זה גם לא בדיוק יותר יעיל מה SWITCH הפשוט
אתה מושך מהמסד. יוצר מערך ואחרי זה אתה מחפש בכל המערך עבור הערך.

אהה וגם לא טיפלת במקרה שה ACT לא מורשה...אין לך שום דבר מוגדר כ DEAFULT....

tnadav · 22-12-06, 21:59

ציטוט:

נכתב במקור על ידי RS324

אם REGISTER_GLOBALS דולקים אז כן יכולה להיות לך בעיה..

אבל נדלק על הקטע הזה...
מה הרעיון פה... בכל מקרה אתה צריך לכתוב את כל ה ACT האפשריים - אז פשוט תדחוף את זה ב SWITCH

מבחינה של יעילות זה גם לא בדיוק יותר יעיל מה SWITCH הפשוט
אתה מושך מהמסד. יוצר מערך ואחרי זה אתה מחפש בכל המערך עבור הערך.

אהה וגם לא טיפלת במקרה שה ACT לא מורשה...אין לך שום דבר מוגדר כ DEAFULT....

לא טיפלתי בזה כי כתבתי משהו ב- NotePed ב- 2 דקות מתוך לחץ שעוד שניה מתחיל ארץ נהדרת :P

אני לא אמרתי שזה יותר יעיל, אמרתי שזה יותר קל לתחזוק, והבעיה ב- Switch זה לתחזק אותו, כשזה נמצא במסד נתונים יותר קל, ואפשר גם להוסיף עוד כל מיני דברים נחמדים כמו הרשאות, וזה למה אני חושב שזה עדיף מ- Switch.

כלים לאשכול
הצגת גרסת הדפסה שלח דף זה באימייל
תצורת הצגה
עבור לתצורה לניארית תצורה משולבת עבור לתצורת אשכולות


	ההרשמה לפורום נפתחה - אפשרות רישום לכל אימייל (דומיינים פרטיים, gmail, הוטמייל..)!

חברים פעילים הצופים באשכול זה: 1 (0 חברים ו- 1 אורחים)