Witam, chciałbym zablokować wszystkie zmienne GET oprócz tych, które podałem w tablicy. Napisałem już jakiś kodzik tylko, że nie chce działać.

[PHP] pobierz, plaintext 
<?php
 
$dozwolone = array (1, 2, 3, 'bla');
 
	foreach ( $dozwolone as $dozw ) 
	{
		if ( ! isset ( $_GET[$dozw] ) && ereg ( '?', $_SERVER['REQUEST_URI'] ) )
		{
			die ("Usuń niedozwolone zmienne GET");
		}
	}
 
?>
[PHP] pobierz, plaintext 

Problem w tym, że foreach wykonuje ten kod tyle razy ile jest elementów w tablicy. I teraz jeżeli już nawet jest zdefiniowane np. $_GET[1] to i tak przy $dozw = 2 zablokuje mi dostęp mimo, że jedyna zdefiniowana zmienna GET jest prawidłowa. I teraz moje pytanie - jak zrobić, żeby działało?

[PHP] pobierz, plaintext 
<?php
$dozwolone = array (1, 2, 3, 'bla');		
foreach ( $_GET as $key => $value )	 
{		
	if ( !in_array($key, $dozwolone ) )
	{
		die('Usuń niedozwolone ...');
	}
}
?>
[PHP] pobierz, plaintext 

...ale po co to?

Dzięki, o to właśnie chodziło

Można powiedzieć, że to jeden z moich "antyhacków"...

ale co Ci z wyrzucania nazwa getow których nie używasz w skrypcie ?

Wydaje mi się, że jeżeli ktoś będzie znać nazwy zmiennych to przy włączonym register_globals może coś nabałaganić.

Może nabałaganić, jeśli opierasz sie na register_globals, czyli używasz $zmienna zamiast $_GET['zmienna']. Jeśli uzywasz tablic superglobalnych nic ci nie grozi (przynajmniej od tej storny )

Staram się używać zmiennych superglobalnych ale zawsze może mi coś umknąć... Lepiej się zabezpieczyć na wszelki wypadek W dodatku można to rozbudować, zrobić coś w rodzaju logów i od razu można zobaczyć kto kombinuje.

ehh. To jak pisesz na localu to wyłącz w php.ini register globals = off.
Jak jak chcesz patrzeć kto co robi to poczytaj o tym: http://www.strefaphp.net/artykul8.html

Pisze na localu, ale staram się pisać pod róźne konfiguracje Logowanie samych groźnych akcji mi raczej wystarczy, ale dzięki za link.


PS. W artykule $_SERVER['HTTP_USER_AGENT'] powinno zostać przefiltrowane przed dodaniem do pliku...