Форум PHP

Скажите пожалуйста, можно ли как-то скрыть переменные методом $_GET через ссылку ?

второе.=) а тебе что надо пароль гетом переслать?:)))

Не, ID темы для редактирования. Но он же может ввести и другой ID, и получиться что редиктирует чужую тему.

а ты проверяй пользовательский ввод. Проверок много не бывает. И пусть хоть он там обвводится

все равно ж придется проверять, что такая тема существует, и что у пользователя есть права на её редактирование.

А все прочел в книжке php 5/6 от авторов сайта, такую вешь полезную

<? echo "<a href='test.php?phrase=".urlencode("Привет, мир!")."'>ссылка</a>"; ?>

Думаю это то

если они имели ввиду тот код в данном контексте, то они... если я знаю как выглядит урленкод, то я возьму, выдеру эту

urlencode("Привет, мир!")

и напишу

urldecode(urlencode("Привет, мир!"))

Авторы в пролете) Ещё идеи?)))

нет не то(

ну вот видишь)))

Тогда у меня другой вопрос, можно ли как-то передать через ссылку скрытые переменые? Каким-нибудь способом?

Вдумайся в свой вопрос))) через ССЫЛКУ СКРЫТЫЕ...

Да, протупил))

Используй POST, и без проверки пользователя на наличие возможности редактировать - не обойтись.

>Используй POST

А я воспользуюсь браузером с возможностью редактирования отправляемых POST-данных=)
Надо проверять права пользователя непосредственно на странице редактирования. Если хотите поиздеваться - то не там, а уже в обработчике. Чтобы кулхацкер, введя в строку адреса чужой id и попав в "недозволенную" область, обрадовался, наредактировал там, а потом жестоко обломался)

А что можно редактировать отправляемые POST данные?? В первый раз слышу))

можно даже браузер не искать.
Зайти в telnet и набить весь запрос руками.

А как защититься от этого?

Выкинуть имеющиеся (содержащие уязвимости) скрипты.
Написать нормальные.

На нормальные нету знаний)) Пока такими попользуюсь)

>На нормальные нету знаний))

Знаний нету, говорите?
Только в этой теме Вам сказали что делать.

автор: Boeing (30.01.2010 в 00:01) для: Ванек2010 (29.01.2010 в 23:59)
а ты проверяй пользовательский ввод. Проверок много не бывает. И пусть хоть он там обвводится

автор: Trianon (30.01.2010 в 00:34) для: Ванек2010 (29.01.2010 в 23:59)
все равно ж придется проверять, что такая тема существует, и что у пользователя есть права на её редактирование.

автор: morkovkin (30.01.2010 в 04:23) для: Ванек2010 (30.01.2010 в 00:59)
Используй POST, и без проверки пользователя на наличие возможности редактировать - не обойтись.


>Пока такими попользуюсь)

Кто бы сомневался.

А что значит пользовательский ввод? И как его проверить

пользовательский ввод, это то, что приходит в суперглобальных массивах $_GET, $_POST, $_COOKIE, $_REQUEST, и т.п.

Проверять на то, что в элементах лежат ожидаемые / допустимые значения, а не что попало / что хочется атакующему.
И если проверка неудачна - прекращать выполнение запроса.

Все спасибо)) Доперло))

На будущее очень советую запомнить: всё, абсолютно ВСЁ, что приходит от пользователя (POST, GET, куки, юзер-агенты всякие) можно редактировать, подменять и подделывать - так или иначе.