Registrace nového uživatele     Návod     Kluby     Archív  Lopuchu     Lopuch.cz  

Nudou jsi opuch?
Navštiv Lopuch!

Lopuch.cz
Jméno:
Heslo:
Podpora LCD:
 
Klub PHP [ŽP: neomezená] (kategorie Programování) moderuje makovec.
Archiv
Diskuse o vybornem skriptovacim jazyku php. Dulezite odkazy, pred polozenim dotazu zkuste hledat odpoved zde:
  1. www.php.net - domovská stránka PHP
  2. www.kosek.cz - spousta tutorialu pro PHP v češtině
  Nastavení klubu     Nastavení práv     Homepage     Anketa     Přítomní     Oblíbené     Lopuch     Kategorie  
autor: 
text: 
vyplnit a 
Help
 Titulek, text příspěvku  
Opište pozpátku následující text bez prostředního znaku: nfbqzry
[ 1845 ] <Novější  <<<Nejnovější  Nejstarší>>>  Starší>  
straka82 Straka82 11.4.2007 11:33  1810
Pro Johny_GPHP 6, in development as of October 2006, aims to address some of PHP 5's shortcomings.

* Native Unicode support will be added;
* The magic_quotes option will be removed;
* The HTTP_*_VARS option will be removed;
* The register_globals option will be removed;
* The safe_mode option will be removed.

In addition, there has been discussion of adding namespace support.
johny_g Johny_G - Relaxační terapie pro lopušáky ZDARMA! 11.4.2007 11:29  1809
Bredy [1804]: Já používám globals zcela pokaždé namísto GET (v momentě, kdy je hodnota proměnné v URL je podstrčení hodnoty natolik snadné a nedůležité, že nevidím důvod, proč by to tam někdo tlačil jinou cestou :-)) a u těch POSTů, ve kterých jsem metodu POST použil jen proto, abych nepřeplácal URL a jakékoli podstrkování mě nijak neohrožuje. U sessions, cookies a důležitějších POST používám pole. Podle mě se za těchto okolností o bezpečnostní riziko nejedná.
tvx tvx Myslet si, že svět je JEN takový, jak - ho v daný čas můžeme pochopit je hloupé. 11.4.2007 10:56  1808
mě z toho akorát vychází že Register_globals=ÓN aneb jak si v tom dělat větší binec a dělat to co nejvíc složitě... :c]

přeci jen mi přijde snadnější, přebírat si hodnoty co potřebuju ze vstupu, nežli kontrolovat, že úplně všechny proměnné ve skriptu mám ošetřeny tak, aby mi do nich nikdo nic ze vstupu nepodstrčil...
pepak pepak - Pepak.net 11.4.2007 10:19  1807
Kdokoliv: Ale s tim hackem Zive jsme zase u toho, ze programator aplikace neosetril mozne vstupy a v dusledku se mu do toho nekdo proboril. Ze to bylo poslanim cookie nebo neceho jineho je naprosto nepodstatne - uplne presne stejne by to fungovalo i pres GET nebo POST.
kdokoliv Kdokoliv Nevidím důvod dělat cokoliv bezdůvodně. - http://kkl2401.wz.cz 11.4.2007 10:14  1806
pepak [1805]: Ano, bezpecne lze psat v libovolnem programovacim jazyce. Jenom se meni pocty lidi behajicich po planete, kteri v kterem jazyce dokazou bezpecne psat.
Pokud jde o bod 3, tak zajimat by Te to melo, videl jsem jeden hack udelanej prave za pomoci toho, ze autor cekal, ze mu prijde neco POSTem (nebo GETem, uz nevim) a uzivatel mu tam pres COOKIE podstrcil neco uplne jineho. Samozrejme to nebylo asi jedine, pres co to bylo hacknuto, ale byl to pomerne fundamentalni kamen (myslim, ze slo tehdy o hacknuti administracniho rozhrani zive.cz, takze podrobnosti by asi dohledat slo).
pepak pepak - Pepak.net 11.4.2007 09:56  1805
Bredy:
1) Viz funkce extract().
2) Pokud je kod blbe napsany, je rizikem i $_GET apod. Pokud je kod napsany dobre, register_globals nicemu nevadi.
3) Session je trochu jiny pripad, ale proc by te u GET/POST/COOKIE melo zajimat, odkud konkretne hodnota prisla? Abys uzivateli znemoznil pouzivat ten zpusob otvirani stranky, ktery mu nejvic vyhovuje?
4) Vzdycky muzes na zacatku skriptu smazat vsechny globalni promenne.
5) Viz 2.
bredy 11.4.2007 09:49  1804
Johny_G

  1. Postupně se od register_globals na různých hostinzích opouští
  2. Přináší výrazné bezpečností riziku (není problém vnutit určité proměnné hodnotu jednoduchým napsáním do URL a pokud to ve skriptu není explicitně ošetřeno, hack je na cestě.
  3. Nejsi schopen odlišit zda se jedná o GET, POST nebo COOKIE a co hur ani nepoznas zda to nahodou neni SESSION. Takze opet prostor pro nejake hackovani z vnejsku
  4. Pro stare skripty,vypnute register_globals lze snadno emulovat primo ve skriptu, naopak pokud je nekdo zapne, tak se jich nezbavis.
  5. Kdyz uz nekomu chybi, je lepsi extrahovat globals rucne, napriklad funkci import_request_variables(), kde dokonce muzes urcit prefix. Ja casto pouzivam "in_" takze promenne se jmenuji $in_page, nebo $in_jmeno, $in_heslo, $in_p, atd... tohle je taky prakticky nehaknutelné
themajkl themajkl All those moments will be lost in time - like tears in rain. 11.4.2007 06:15  1803
Bredy [1802]: Jo tak, tak o tom netuším nic.
bredy 11.4.2007 00:30  1802
themajklPockej, me se jedna o metodu extrakce nahledu primo z DCT, kde se vyuzivalo faktu, ze nejnizsi harmonicka kazdeho ctverecku odpovida presne prumerne barve ctverecku. Tohoto algoritmu se vyuzivalo prave na tehdy pomalych pocitacich programem qickjpeg.
themajkl themajkl All those moments will be lost in time - like tears in rain. 10.4.2007 21:56  1801
Bredy [1799]: Není tomu tak. Ano, v JPG je možné mít uložen náhled obrázku a při vytváření primárních dat (třeba to, co leze z digitálního foťáku) to tam je skoro určitě. Jenže se na to nedá spoléhat, ne každý JPG to v sobě má. Editační grafické programy mívají volbu, co s náhledem př ukládání udělat. Občas o tom někdo neví a pak vznikne JPG, který obsahuje jako náhled úplně jiný obrázek :-)
Nicméně pro generování náhledů to rozhodně není spolehlivá metoda.
johny_g Johny_G - Relaxační terapie pro lopušáky ZDARMA! 10.4.2007 21:48  1800
Bredy [1798]: Já používám globals pro svou pohodlnost ;-). To byste mi museli předložit pádné argumenty, abych přešel na GET :-). U POST je to trochu něco jiného.
bredy 10.4.2007 21:46  1799
Cetl jsem, ze kazdy JPEG uklada 8x zmenseninu obrazku. Kdysi davno na to existoval program na prohlizeni quickpeg, ktery umel generovat rychle nahledy z techto zmensenin. Neznate nekdo skriptik, ktery by to umel vyextrahovat?
bredy 10.4.2007 21:44  1798
Johny_GNo to co pises platilo tak pred 5 lety. Dneska se pouziva $_GET
johny_g Johny_G - Relaxační terapie pro lopušáky ZDARMA! 10.4.2007 20:16  1797
themajkl [1792]: Jakože nemusíš používat $P1=$_GET['p']; ale rovnou načítat $p ;-).

Jinak skript pro náhledy bude malinko složitější, ještě si budeš muset vygenerovat tu zmenšeninu pomocí nějakého resamplu a hodit jí někam do cache, aby se už příště generovat nemusela. Ale jednou jsem dělal web, pro který jsem si tento skript musel napsat, takže když budeš bezradný, tak ti to nějak uplácám.
themajkl themajkl All those moments will be lost in time - like tears in rain. 10.4.2007 20:14  1796
tvx [1795]: Sorry, řeším dvě různé věc najednou, to jsem neřekl. Tohle s generováním náhledů nesouvisí.
[ 1845 ] <Novější  <<<Nejnovější  Nejstarší>>>  Starší>  

(c) 2001-2011 Lopuch.cz   
Kontakt