Forum PHP.pl > Zabezpieczenie skryptów

Pomoc - Szukaj - Użytkownicy - Kalendarz

blaskognia

28.01.2006, 20:00:19

W kursie php znalazłem takie zdanie w związku ze zmiennymi globalnymi, a konkretniej z p fukncją POST

Cytat

"Wydaje się to wygodniejsze i łatwiejsze, lecz powoduje pewne niebezpieczeństwo. Mianowicie używając zmiennych globalnych nie można stwierdzić, czy dana wartość pochodzi z sesji czy może została podana w URLu metodą GET. Przy źle napisanych skryptach można tak obchodzić zabezpieczenia."

Jak zabezpieczać skrypty?

bełdzio

28.01.2006, 20:23:48

nie używać register global

, a jak już musisz to mocno filtruj

blaskognia

28.01.2006, 20:40:48

Tzn.? Podaj jeśli możesz przykłądy filtrowania?

Radarek

28.01.2006, 20:42:33

Samo register globals moze byc wlaczone na serwerze. Po prostu jesli chcesz uzyc zmiennej x przekazywanej metoda GET to odwoluj sie przez $_GET['x']. Tak samo rob z $_POST, $_COOKIE, $_SESSION itp.

blaskognia

28.01.2006, 20:45:13

I to jest to filtrowanie? :- ) Bo jeśli tak to każdy skrypt to u mnie stosuje (co zrobiłem troche nieświadomie ;- ))

Jedno jeszcze pytanie... co z tym include?

strife

28.01.2006, 21:15:59

To już było poruszane, nawet jest temat przyklejony dotyczący bezpieczeństwa skryptów ... http://forum.php.pl/index.php?showtopic=30056

Radarek

28.01.2006, 21:46:32

Cytat(blaskognia @ 2006-01-28 19:45:13)

I to jest to filtrowanie? :- ) Bo jeśli tak to każdy skrypt to u mnie stosuje (co zrobiłem troche nieświadomie ;- ))

Jedno jeszcze pytanie... co z tym include?

Jesli to bylo pisane do mnie to odpisuje.

Nie, to nie jest przykald filtrowania, tylko pokazane jak odwolywac sie do zmiennych pochodzacych z konkretnych zrodel (GET, POST itp). Register global moze byc wlaczone i nie spowoduje to ze skryopty beda mniej bezpieczne.

A co do samego filtrowania, to bylo to juz poruszane na forum dziesiatki razy. Trzeba szukac

blaskognia

28.01.2006, 22:31:33

A czy istnieje możliwość włamania się gdy skrypt korzysta z sesji? Np.:

if ($_SESSION["zalogowany"]=="tak")
{

Jeżeli jest zalogowany, to coś tam wykonuje. Czy haker może to złamać?

Radarek

28.01.2006, 23:33:27

W 99% nie jest w stanie tego zlamac

. Zmienne sesyjne przechowywane sa na serwerze. Musialby dostac sie do plikow w ktorych przechowywane sa te zmienne. To tak w wielkim skrocie, bo nie wspominam tu o przechwytywaniu sesji itp.

blaskognia

28.01.2006, 23:37:42

Czyli na dobrą sprawę niemal 100% zabezpieczeniem jest zamknięcie wszystkich skryptów w

if ($_SESSION["zalogowany"]=="tak")
{

czy tak? :- D

ActivePlayer

29.01.2006, 00:16:16

przy register_globals = on

mając taki kod:

[PHP] pobierz, plaintext 
<?php
 
if($zalogowany == true){
//jakis ukryty kod
}
 
?>
[PHP] pobierz, plaintext

zmienna $zalogowany pobirała wartość np w Twoim przypadku z sesji ale...
tajny_plik.php?zalogowany=1
i zmienna $zalogowany mogła przyjąć wartość true. ogolnei zamotka z tym była. najbezpieczenij uzywac $_GET $_POST itd. do tego sprawdzac czy przychadzące dane są idpowiedniego typu, is numeric itd. wiecej w temacie sql injection (przyklejony jest).

blaskognia

29.01.2006, 09:37:59

Ale ja nie napisałem:

if($zalogowany == true)

tylko:

if ($_SESSION["zalogowany"]=="tak")

To zmusza przecież do pobrania nie z pasa tylko konkretnie z sesji.

ActivePlayer

29.01.2006, 10:44:42

tak. to jest jak najbardziej poprawne w myśl 'bezpieczeństwa'

To jest wersja lo-fi głównej zawartości. Aby zobaczyć pełną wersję z większą zawartością, obrazkami i formatowaniem proszę kliknij tutaj.