Registrace nového uživatele     Návod     Kluby     Archív  Lopuchu     Lopuch.cz  

Diskuze na Lopuchu,
pohlazení na duchu

Lopuch.cz

Jméno:
Heslo:
Podpora LCD:
 
Klub PHP [ŽP: neomezená] (kategorie Programování) moderuje makovec.
Archiv
Diskuse o vybornem skriptovacim jazyku php. Dulezite odkazy, pred polozenim dotazu zkuste hledat odpoved zde:
  1. www.php.net - domovská stránka PHP
  2. www.kosek.cz - spousta tutorialu pro PHP v češtině
  Nastavení klubu     Nastavení práv     Homepage     Anketa     Přítomní     Oblíbené     Lopuch     Kategorie  
autor: 
text: 
vyplnit a 
Help
 Titulek, text příspěvku  
Opište pozpátku následující text bez prostředního znaku: mwnjnmz
[ 1845 ] <Novější  <<<Nejnovější  Nejstarší>>>  Starší>  
kdokoliv Kdokoliv Nevidím důvod dělat cokoliv bezdůvodně. - http://kkl2401.wz.cz 11.4.2007 12:05  1818
Tutorialy jsou vec dobra, kdyz clovek s necim zacina, aby pochopil, o co vubec tak zhruba jde. Ale stavet neco seriozniho na znalostech z tutorialu je hovadina, kdyz to clovek mysli vazne, tak by si mel precist neco poradnejsiho, nez muze tutorial nabidnout.
johny_g Johny_G - Relaxační terapie pro lopušáky ZDARMA! 11.4.2007 11:55  1817
Straka82 [1815]: Já se učím z webových tutorialů a teď jsem si pro jistotu (evidentně to až taková jistota nebyla :-))) ověřil, zda některé mně známé tutorialy používají i jinou cestu, než HTTP_COOKIE_VARS. Nepoužívají :-). No tak jsem zase o něco chytřejší - ze všech svých webů mám čtení cookies jen na jediném řádku jediného webu a to ještě jen pro mou vlastní potřebu :-)).
straka82 Straka82 11.4.2007 11:52  1815
Prece na cookies je zase pole $_COOKIE :)
johny_g Johny_G - Relaxační terapie pro lopušáky ZDARMA! 11.4.2007 11:51  1813
Straka82 [1810]: Ale počkej, to je blbost, ne? Přeci nebudou rušit čtení z hlaviček (HTTP_*_VARS), to by šly do pytle i cookies, ne?
johny_g Johny_G - Relaxační terapie pro lopušáky ZDARMA! 11.4.2007 11:46  1812
No tak až to přijde, tak těch pár řádků přidám, no ;-).
straka82 Straka82 11.4.2007 11:35  1811
Takze jestli jsem to pochopil spravne, tak od verze 6 budes nucen pouzivat pouze $_GET a stranky co mas ted nebudou fungovat, pokud teda nebudes mit porad nainstalovanou petku, ale to nekdy nemuzes ovlivnt.
straka82 Straka82 11.4.2007 11:33  1810
Pro Johny_GPHP 6, in development as of October 2006, aims to address some of PHP 5's shortcomings.

* Native Unicode support will be added;
* The magic_quotes option will be removed;
* The HTTP_*_VARS option will be removed;
* The register_globals option will be removed;
* The safe_mode option will be removed.

In addition, there has been discussion of adding namespace support.
johny_g Johny_G - Relaxační terapie pro lopušáky ZDARMA! 11.4.2007 11:29  1809
Bredy [1804]: Já používám globals zcela pokaždé namísto GET (v momentě, kdy je hodnota proměnné v URL je podstrčení hodnoty natolik snadné a nedůležité, že nevidím důvod, proč by to tam někdo tlačil jinou cestou :-)) a u těch POSTů, ve kterých jsem metodu POST použil jen proto, abych nepřeplácal URL a jakékoli podstrkování mě nijak neohrožuje. U sessions, cookies a důležitějších POST používám pole. Podle mě se za těchto okolností o bezpečnostní riziko nejedná.
tvx tvx Myslet si, že svět je JEN takový, jak - ho v daný čas můžeme pochopit je hloupé. 11.4.2007 10:56  1808
mě z toho akorát vychází že Register_globals=ÓN aneb jak si v tom dělat větší binec a dělat to co nejvíc složitě... :c]

přeci jen mi přijde snadnější, přebírat si hodnoty co potřebuju ze vstupu, nežli kontrolovat, že úplně všechny proměnné ve skriptu mám ošetřeny tak, aby mi do nich nikdo nic ze vstupu nepodstrčil...
pepak pepak - Pepak.net 11.4.2007 10:19  1807
Kdokoliv: Ale s tim hackem Zive jsme zase u toho, ze programator aplikace neosetril mozne vstupy a v dusledku se mu do toho nekdo proboril. Ze to bylo poslanim cookie nebo neceho jineho je naprosto nepodstatne - uplne presne stejne by to fungovalo i pres GET nebo POST.
kdokoliv Kdokoliv Nevidím důvod dělat cokoliv bezdůvodně. - http://kkl2401.wz.cz 11.4.2007 10:14  1806
pepak [1805]: Ano, bezpecne lze psat v libovolnem programovacim jazyce. Jenom se meni pocty lidi behajicich po planete, kteri v kterem jazyce dokazou bezpecne psat.
Pokud jde o bod 3, tak zajimat by Te to melo, videl jsem jeden hack udelanej prave za pomoci toho, ze autor cekal, ze mu prijde neco POSTem (nebo GETem, uz nevim) a uzivatel mu tam pres COOKIE podstrcil neco uplne jineho. Samozrejme to nebylo asi jedine, pres co to bylo hacknuto, ale byl to pomerne fundamentalni kamen (myslim, ze slo tehdy o hacknuti administracniho rozhrani zive.cz, takze podrobnosti by asi dohledat slo).
pepak pepak - Pepak.net 11.4.2007 09:56  1805
Bredy:
1) Viz funkce extract().
2) Pokud je kod blbe napsany, je rizikem i $_GET apod. Pokud je kod napsany dobre, register_globals nicemu nevadi.
3) Session je trochu jiny pripad, ale proc by te u GET/POST/COOKIE melo zajimat, odkud konkretne hodnota prisla? Abys uzivateli znemoznil pouzivat ten zpusob otvirani stranky, ktery mu nejvic vyhovuje?
4) Vzdycky muzes na zacatku skriptu smazat vsechny globalni promenne.
5) Viz 2.
bredy 11.4.2007 09:49  1804
Johny_G

  1. Postupně se od register_globals na různých hostinzích opouští
  2. Přináší výrazné bezpečností riziku (není problém vnutit určité proměnné hodnotu jednoduchým napsáním do URL a pokud to ve skriptu není explicitně ošetřeno, hack je na cestě.
  3. Nejsi schopen odlišit zda se jedná o GET, POST nebo COOKIE a co hur ani nepoznas zda to nahodou neni SESSION. Takze opet prostor pro nejake hackovani z vnejsku
  4. Pro stare skripty,vypnute register_globals lze snadno emulovat primo ve skriptu, naopak pokud je nekdo zapne, tak se jich nezbavis.
  5. Kdyz uz nekomu chybi, je lepsi extrahovat globals rucne, napriklad funkci import_request_variables(), kde dokonce muzes urcit prefix. Ja casto pouzivam "in_" takze promenne se jmenuji $in_page, nebo $in_jmeno, $in_heslo, $in_p, atd... tohle je taky prakticky nehaknutelné
themajkl themajkl All those moments will be lost in time - like tears in rain. 11.4.2007 06:15  1803
Bredy [1802]: Jo tak, tak o tom netuším nic.
bredy 11.4.2007 00:30  1802
themajklPockej, me se jedna o metodu extrakce nahledu primo z DCT, kde se vyuzivalo faktu, ze nejnizsi harmonicka kazdeho ctverecku odpovida presne prumerne barve ctverecku. Tohoto algoritmu se vyuzivalo prave na tehdy pomalych pocitacich programem qickjpeg.

[ 1845 ] <Novější  <<<Nejnovější  Nejstarší>>>  Starší>  

(c) 2001-2011 Lopuch.cz   
Kontakt