Форум PHP

На будущее очень советую запомнить: всё, абсолютно ВСЁ, что приходит от пользователя (POST, GET, куки, юзер-агенты всякие) можно редактировать, подменять и подделывать - так или иначе.

Все спасибо)) Доперло))

пользовательский ввод, это то, что приходит в суперглобальных массивах $_GET, $_POST, $_COOKIE, $_REQUEST, и т.п.

Проверять на то, что в элементах лежат ожидаемые / допустимые значения, а не что попало / что хочется атакующему.
И если проверка неудачна - прекращать выполнение запроса.

А что значит пользовательский ввод? И как его проверить

>На нормальные нету знаний))

Знаний нету, говорите?
Только в этой теме Вам сказали что делать.

автор: Boeing (30.01.2010 в 00:01) для: Ванек2010 (29.01.2010 в 23:59)
а ты проверяй пользовательский ввод. Проверок много не бывает. И пусть хоть он там обвводится

автор: Trianon (30.01.2010 в 00:34) для: Ванек2010 (29.01.2010 в 23:59)
все равно ж придется проверять, что такая тема существует, и что у пользователя есть права на её редактирование.

автор: morkovkin (30.01.2010 в 04:23) для: Ванек2010 (30.01.2010 в 00:59)
Используй POST, и без проверки пользователя на наличие возможности редактировать - не обойтись.


>Пока такими попользуюсь)

Кто бы сомневался.

На нормальные нету знаний)) Пока такими попользуюсь)

Выкинуть имеющиеся (содержащие уязвимости) скрипты.
Написать нормальные.

А как защититься от этого?

можно даже браузер не искать.
Зайти в telnet и набить весь запрос руками.

А что можно редактировать отправляемые POST данные?? В первый раз слышу))