Вопрос про безопасность сессии — Страница 4

localhost

14 янв 2012 г., 20:23

OnLine Quest Game

vermas (14.01.2012/17:08)
localhost, фильтруй, htmlspecialchars() в помошь, а то запустят жаваскрипт или просто испортят разметку.

это при выводе?

Koenig

14 янв 2012 г., 20:28

(\/)____o_O____(\/)

localhost, Да там такой же вывод будет как и после htmlspecialchars

k_2

14 янв 2012 г., 21:46

Изменено

localhost (12.01.2012/12:51)
...
Я так понимаю что кроме как подстановка и вывод любого файла в папке тест,больше ничего нельзя набедокурить? ...

Наивный гг.

Простым запросом http://сайт/папка/страница.php ... y.php
подключим файл из форума или из любого другого места на сайте.

Незря в двиге везде указаны массивы с перечнем допустимых подключаемых файлов.
Пример:

$mods = array(
    'addfile',
    'addvote',
    'close',
    'deltema',
    'delvote',
    'editpost',
    'editvote',
    'file',
    'files',
    'filter',
    'loadtem',
    'vote',
    'who'
);
if ($act && ($key = array_search($act, $mods)) !== false && file_exists('includes/' . $mods[$key] . '.php')) {
    require('includes/' . $mods[$key] . '.php');
}

localhost

14 янв 2012 г., 22:08

OnLine Quest Game

k_2 (14.01.2012/18:46)
Наивный гг.
Простым запросом http://сайт/папка/страница.php ... y.php
подключим файл из форума или из любого другого места на сайте.

Незря в двиге везде указаны масси

никак ты не подключишь,так как скрипт будет искать папки и файлы только в определенной папке,в данном случае инклуде.

localhost

14 янв 2012 г., 22:13

OnLine Quest Game

k_2 (14.01.2012/18:46)
Наивный гг.
Простым запросом http://сайт/папка/страница.php ... y.php
подключим файл из форума или из любого другого места на сайте.

Незря в двиге везде указаны масси

Блин,точно.
Извини за наезд,в самом деле смог вызвать но при условии что в некодированном виде.

k_2

14 янв 2012 г., 22:16

localhost (14.01.2012/19:13)
Блин,точно.
Извини за наезд,в самом деле смог вызвать но при условии что в некодированном виде.

Ну так зная чем кодируется можно и закодированный запрос подставить гг.

Я тебе привёл пример безопасного подключения файлов.

localhost

14 янв 2012 г., 22:17

OnLine Quest Game

Блин,хотя нет,нельзя,щас все прошмонал,нельзя и все

k_2

14 янв 2012 г., 22:21

Изменено

localhost (14.01.2012/19:17)
Блин,хотя нет,нельзя,щас все прошмонал,нельзя и все

Что именно нельзя?
Если ты про подключение сторонних файлов, то я немного неправильный пример дал, расширение в конце писать ненадо.
http://сайт/папка/страница.php ... s/say

localhost

14 янв 2012 г., 22:23

OnLine Quest Game

k_2 (14.01.2012/19:21)
Что именно нельзя?
Если ты про подключение сторонних файлов, то я немного неправильный пример дал, расширение в конце писать недо.
http://сайт/папка/страница.php ... s/say

Прикол в том что,скрипт на выдаче дает файл который зашифрован,то есть он его расшифровывает и выдает,а вот если вместо зашифрованного он берет не зашифрованный то тогда либо его выкидывает мол нет такой страницы либо тупо дает главную
Щас пример в личку скину.

Windler

15 янв 2012 г., 1:57

localhost (14.01.2012/15:55)
Опять же вопросы про безопасность.
Задача.
Есть данные которые передаются методом пост.
эти данные перед записью в базу фильтруются функцией check от джон 3.2.2
Из базы данные выводятся без какого

Это без опасно..функция возвращает код символа #100500; - как то так, выводя их сервер их преобразует в обычный текст..