| |
|
|
| | У меня на сайте после знака ? может вводится только буква p, знак= и любые цыфры, это сделано для защиты, то-есть, вот нормальная ссылка google.com?p=1, если ссылка google.com?p=k или google.com?p+1, то выдает ошибку пользователю, то-есть, все нормально...Но что делать, если юзер после этой записи введет &, тогда получится google.com?p=1&b=SELECT .... , и он сможет сделать многое...Обьясните механизм защиты в этом случае...покамесь я использую такое регулярное выражение :
//проверяем, пустое ли $_SERVER['QUERY_STRING'];, если нет, то
if(!preg_match("|p=[\d]+|i",$page))
|
конструкция понятна, но как быть если после ?p=1 ставят & ???? | |
| |
|
|
| |
автор: Тень* (02.04.2010 в 23:27) |
|
| |
для: nikolayers
(02.04.2010 в 23:20)
| | | Я бы прописал решить задачу # 21 и забыть о подобном способе "защиты". | |
| |
|
|
|
| |
|
|
| |
для: nikolayers
(02.04.2010 в 23:20)
| | | Если в скрипте используется првильно обработанная $p = обработка($_GET['p']), но $_GET['b'] и другие геты не используются, то каким образом "google.com?p=1&b=SELECT... может сделать многое"? | |
| |
|
|
| |
|
|
| |
для: Yuriev
(02.04.2010 в 23:59)
| | | то-есть, если используется только p, то в любом случае защиту можно оставить такой как была??? | |
| |
|
|
| |
|
|
| |
для: nikolayers
(02.04.2010 в 23:20)
| | | >У меня на сайте после знака ? может вводится только буква p, знак= и любые цыфры, это сделано для защиты,
Такая формулировка постулирует то, что такой подход в качестве метода защиты кем-то был предложен и оценен, как оптимальный.
Пока этот постулат ничем не перешиблен, просить какие-либо объяснения и/или коррективы имеет смысл только у автора метода.
Я езжу на по встречке, потому что меня так научили, чтобы быстрее добираться до цели.
Но ко мне последнее время почему то стали цепляться гаишники. Да и число разборок со страховыми компаниями как-то возросло последнее время. Что делать?
-- Спрашивать у учителя. Может Вы его не так поняли?
Пока Вы не откажетесь от этого метода - давать какие либо советы смысла не будет. | |
| |
|
|
