http://softtime.ru/forumhttp://softtime.ru/forum/read.php?id_forum=1&id_theme=70832#post417913kosta_in_net, если проверяем логин, то тогда уже проще с помощью регулярок его проверить: "? if(!preg_match("/{1,20}/", $item)) die("Логин некорректен"); ?"Безопасен ли такой код?Tue, 19 Jan 2010 14:15:31 +0300man1http://softtime.ru/forum/read.php?id_forum=1&id_theme=70832#post415337нет. Я в скрипт добавил евал. После того, как скрипт НЕ выполнил команду системы (с нескльких попыток по разному ее...Безопасен ли такой код?Thu, 7 Jan 2010 12:07:35 +0300kosta_in_nethttp://softtime.ru/forum/read.php?id_forum=1&id_theme=70832#post415336"Сейчас получилось только через eval($login); То есть Вы в поле имени логина написали eval, и скрипт выполнил команду?Безопасен ли такой код?Thu, 7 Jan 2010 12:04:13 +0300Trianonhttp://softtime.ru/forum/read.php?id_forum=1&id_theme=70832#post415334"Сейчас получилось только через eval($login); То есть Вы в форме авторизации - в поле логина написали eval, и скрипт выполнил...Безопасен ли такой код?Thu, 7 Jan 2010 12:00:59 +0300Trianonhttp://softtime.ru/forum/read.php?id_forum=1&id_theme=70832#post415323Сейчас получилось только через eval($login); Наверное, я перепутал, так как эксперементировал с этим несколько лет назад. Но я не запускал...Безопасен ли такой код?Thu, 7 Jan 2010 11:18:21 +0300kosta_in_nethttp://softtime.ru/forum/read.php?id_forum=1&id_theme=70832#post415320"Привет Trianon! Рад тебя видеть. Добрый день, kosta_in_net. Я тоже рад Вас видеть. "Я на денвере запускал всякие программы так....Безопасен ли такой код?Thu, 7 Jan 2010 10:32:41 +0300Trianonhttp://softtime.ru/forum/read.php?id_forum=1&id_theme=70832#post415319Привет Trianon! Рад тебя видеть. Я на денвере запускал всякие программы так. На серверах это ОБЫЧНО апрещается конфигурацией. Но зачем...Безопасен ли такой код?Thu, 7 Jan 2010 10:10:04 +0300kosta_in_nethttp://softtime.ru/forum/read.php?id_forum=1&id_theme=70832#post415318давайте, чтобы ничего не рушить, Вы попробуете поэкспериментировать с логином `dir` или, к примеру, `mkdir flag` когда получится - напишите...Безопасен ли такой код?Thu, 7 Jan 2010 10:04:53 +0300Trianonhttp://softtime.ru/forum/read.php?id_forum=1&id_theme=70832#post415317есть такая штука, как ехеккоманд. Если данные в форме облачить в такие кавычки "`" (на клаве там, где буква "ё")....Безопасен ли такой код?Thu, 7 Jan 2010 09:44:15 +0300kosta_in_nethttp://softtime.ru/forum/read.php?id_forum=1&id_theme=70832#post415243если убрать двойной session_start() и полагать, что $_SESSION "под контролем", то вполне, ибо в данном случае проверять что-либо не имеет...Безопасен ли такой код?Wed, 6 Jan 2010 23:25:31 +0300ridehttp://softtime.ru/forum/read.php?id_forum=1&id_theme=70832#post415242Зависит от конкретной ситуации:)))Безопасен ли такой код?Wed, 6 Jan 2010 23:24:22 +0300Boeinghttp://softtime.ru/forum/read.php?id_forum=1&id_theme=70832#post415235""1. данные из форм достаточно перед занесением в базу обработать функцией mysql_real_escape_string() (и то, если отключены магические кавычки), " "Вы...Безопасен ли такой код?Wed, 6 Jan 2010 22:38:21 +0300Ромаhttp://softtime.ru/forum/read.php?id_forum=1&id_theme=70832#post415230Вы думаете этого достаточно? Только лишь этой функцией? А что еще требуется? P.S. Это не критика. Я учусь. :)Безопасен ли такой код?Wed, 6 Jan 2010 22:18:54 +0300IceGhosthttp://softtime.ru/forum/read.php?id_forum=1&id_theme=70832#post415227"1. данные из форм достаточно перед занесением в базу обработать функцией mysql_real_escape_string() (и то, если отключены магические кавычки), Вы думаете...Безопасен ли такой код?Wed, 6 Jan 2010 22:12:47 +0300Boeinghttp://softtime.ru/forum/read.php?id_forum=1&id_theme=70832#post415219забыл! 3. Проверять mime типы файлов при загрузке на сервер.Безопасен ли такой код?Wed, 6 Jan 2010 21:49:33 +0300Ромаhttp://softtime.ru/forum/read.php?id_forum=1&id_theme=70832#post415213Что касается введенных пользователем даных: 1. данные из форм достаточно перед занесением в базу обработать функцией mysql_real_escape_string() (и то, если...Безопасен ли такой код?Wed, 6 Jan 2010 21:39:21 +0300Ромаhttp://softtime.ru/forum/read.php?id_forum=1&id_theme=70832#post415207: Yuriev, да, действительно, одна session_start() лишняя IceGhost, все правильно понял, фильтрация здесь не нужна, данные ни в БД, ни...Безопасен ли такой код?Wed, 6 Jan 2010 21:17:45 +0300man1http://softtime.ru/forum/read.php?id_forum=1&id_theme=70832#post415198В данном участке кода действительно ничего не сделаешь Но в целом надо в себе вырабатывать привычку обрабатывать приходящие данные от...Безопасен ли такой код?Wed, 6 Jan 2010 20:50:01 +0300neadekvathttp://softtime.ru/forum/read.php?id_forum=1&id_theme=70832#post415197Мне интересно, зачем экранировать специальные символы в присылаемом логине, если значение этого самого логина в вышеприведенном коде (в том, где...Безопасен ли такой код?Wed, 6 Jan 2010 20:38:23 +0300IceGhosthttp://softtime.ru/forum/read.php?id_forum=1&id_theme=70832#post415196"Да, кстати, "$login=htmlspecialchars($login) "Убирать тэги лучше сразу - зачем совершать лишние операции, когда без них можно обойтись "$login=htmlspecialchars($_REQUEST) Ну я...Безопасен ли такой код?Wed, 6 Jan 2010 20:34:18 +0300Boeing