Forum PHP.pl > Filtracja linku

Pomoc - Szukaj - Użytkownicy - Kalendarz

Muadib

4.04.2008, 13:38:30

Mam pytanie z zakresu bezpieczeństwa otóz mam taki link

/index.php?akcja=ogloszenia&vhost=&id_zamow=1784

kodowo sie przedstawia następująco

[PHP] pobierz, plaintext 
<a href="index.php?akcja=<?php echo $wyswietlanie; ?>&vhost=<?php echo $_GET['vhost']; ?>&id_zamow=<?php echo $res_zam['zam_przet_id']; ?>" ><?php echo $res_zam['nazwa_zam']; ?></a>
[PHP] pobierz, plaintext

mam takie pytanie bo w takiej formie jest podobno możliwe zliczanie tabel przy pomocy union i select coś w stylu:
index.php?akcja=ogloszenia&vhost=&id_zamow=l%20and%201 =2%20union%20select% i tu jakies argumenty.. nie za bardzo dobry jestem w zabezpieczenia a mam troche mętlik w głowie :/

Advance

4.04.2008, 13:40:42

addslashes();
stripslashes();

Do przefiltrowania $_GET. To drugie wywala slashe, to pierwsze dodaje.

Muadib

4.04.2008, 13:51:18

Hmm wiem ze to wyglada ze leniwy jestem ale bawie sie juz 4 godziny ale jakis przykład na tym;p

pyro

4.04.2008, 14:07:11

[PHP] pobierz, plaintext 
<?php echo $_GET['vhost']; ?>
[PHP] pobierz, plaintext

takie cos powinienes tez filtrowac poprzez htmlspecialchars()

[PHP] pobierz, plaintext 
<?php echo htmlspecialchars($_GET['vhost']); ?>
[PHP] pobierz, plaintext

marcio

4.04.2008, 15:32:30

Jak nie to preg_match albo int() is_numeric/is_integer na liczby

To jest wersja lo-fi głównej zawartości. Aby zobaczyć pełną wersję z większą zawartością, obrazkami i formatowaniem proszę kliknij tutaj.