הרשם | שאלות ותשובות | רשימת חברים | לוח שנה | הודעות מהיום | חיפוש |
|
|
כלים לאשכול | תצורת הצגה |
16-06-06, 08:10 | # 1 |
אין כמו ב127.0.0.1
|
[PHP] ביטול פריצות אבטחה ע"י GET
שלום,
אני עובד על המערכת שלי, skywar, ואני צריך את עזרתכם =\ קיצור, יש לי משתנה, בשם gamelist. עכשיו, אם ניגשים אליו ככה: http://skyawr.webitem.co.il/index.php?gamelist=null המשתנה נמחק. זאת לא בעיה. במשתנה לא נכנס מידע כ"כ קריטי שאני לא יכול לשרוד שלא יראו אותו. אבלל.. אני מוטרד מזה שמישהו יגש למשתנה יותר קריטי במערכת, ואולי יצליח לפרוץ אותה... יש משהו להתחמק נגד זה? תודה רבה למגיבים. ושוב אני אומר, בעיות במחשב גורמות לי לא לבקר פה הרבה זמן. אז אני אחזור עוד מעט. |
16-06-06, 09:02 | # 2 |
משתמש - היכל התהילה
|
ב"ה
המשתנה נקרא ככה: קוד:
$gamelist קוד:
$_GET['gamelist'] קוד:
register_globals = Off ואפשר לבדוק את זה ככה: קוד:
ini_get('register_globals')
__________________
קו ישר, כי אפשר גם אחרת |
16-06-06, 13:59 | # 3 |
אין כמו ב127.0.0.1
|
ואני, כמו 90% מהאחרים בעולם, לא על שרת פרטי.
כמו כן, אני לא בעל גישה לקובץ INI לצערי. אחרת העולם היה הרבה יותר שמח. xD SOMETHING ELSE? |
16-06-06, 14:09 | # 4 |
תודה על תרומתך.
|
אוקי אז זאת פונקציה שכתבתי עכשיו - לא בדקתי אותה אבל רעיונית היא אמור לעבוד
אני מאמין שיש לך קובץ שנקרא gloabl.php שאתה קורא לו מכל הדפים אז תדחוף את הפונקציה שם : PHP קוד:
$allowedvars - זה הערכים שמורשים להשאר לדוגמא GET POST וכאלה אני שמתי שם רק כמה דוגמאות בשביל להמחיש את הרעיון. כמובן שצריך לבדוק את הקוד ואולי לפתח אותו עוד קצת אבל עקרונית זה אמור לעבוד תהנה. |
16-06-06, 18:23 | # 5 |
אין כמו ב127.0.0.1
|
לא הבנתי איפה אתה משתמש פה בallowedvars... אין בו בכלל שימוש..
אני אנסה אחר כך.. תודה על הניסיון.. אה ד"א ומה קורה אם אני צריך GET? O.o |
16-06-06, 20:53 | # 6 |
חבר פורום
|
אתה יכול לקבוע את ה-register_globals גם דרך ה-htaccess...
בשביל עוד מידע: www.justfuckinggoogleit.com
__________________
ניר, מתכנת PHP מקצועי עם ידע ויכולות מוכחות. צור קשר: MSN Messanger: MasterNir@gmail.com E-mail: MasterNir@gmail.com ICQ #: 171963672 |
18-06-06, 14:09 | # 7 | |
אין כמו ב127.0.0.1
|
ציטוט:
|
|
18-06-06, 14:11 | # 8 |
חבר וותיק
|
לא הבנתי למה כשהתוכן של המשתנה הוא NULL הוא יימחק..?
|
18-06-06, 17:45 | # 9 |
אין כמו ב127.0.0.1
|
תחשוב שאתה יכול לגשת למשתנה $id ב2 צורות
1. $_GET['id'] 2. $id אבל זה מותנה במצב הregister_globals. המצב האידאלי מבחינת אבטחה הוא off. אבל אצלי הוא on, וזה יוצר בעיה רצינית באבטחה.. מקורה ככה? P: |
18-06-06, 17:51 | # 10 |
תודה על תרומתך.
|
מצטער פשוט כתבתי את זה דיי מהר ולא בדיוק בדקתי את זה
בבקשה הפונקציה המתוקנת.... PHP קוד:
|
חברים פעילים הצופים באשכול זה: 1 (0 חברים ו- 1 אורחים) | |
|
|