PHP - diskusní klub na Lopuchu

Registrace nového uživatele

Návod

Kluby

Archív Lopuchu

Lopuch.cz

Já Vánoce juchuchu
oslavím na Lopuchu!

Lopuch.cz

	Klub PHP [ŽP: neomezená] (kategorie Programování) moderuje makovec.
	Archiv Diskuse o vybornem skriptovacim jazyku php. Dulezite odkazy, pred polozenim dotazu zkuste hledat odpoved zde: www.php.net - domovská stránka PHP www.kosek.cz - spousta tutorialu pro PHP v češtině

Nastavení klubu

Nastavení práv

Homepage

Anketa

[ 1845 ]

<Novější <<<Nejnovější Nejstarší>>> Starší>


	Straka82 11.4.2007 19:50	1820
	mptsSem se schvalne dival a mam nainstalovanou verzi 5.1.4, asi nepatrim mezi ty normalni lidi :) Asi se nak nechytam, proc vubec normalni lidi pouzivaji verzi 4.4.x?


	mpts Je to jinak, ba přesně naopak! 11.4.2007 16:05	1819
	Straka82: Jakou pětku? Nechápu. Normální lidi přece užívají 4.4.x.


	Kdokoliv Nevidím důvod dělat cokoliv bezdůvodně. - http://kkl2401.wz.cz 11.4.2007 13:05	1818
	Tutorialy jsou vec dobra, kdyz clovek s necim zacina, aby pochopil, o co vubec tak zhruba jde. Ale stavet neco seriozniho na znalostech z tutorialu je hovadina, kdyz to clovek mysli vazne, tak by si mel precist neco poradnejsiho, nez muze tutorial nabidnout.


	Johny_G - Relaxační terapie pro lopušáky ZDARMA! 11.4.2007 12:55	1817
	Straka82 [1815]: Já se učím z webových tutorialů a teď jsem si pro jistotu (evidentně to až taková jistota nebyla :-))) ověřil, zda některé mně známé tutorialy používají i jinou cestu, než HTTP_COOKIE_VARS. Nepoužívají :-). No tak jsem zase o něco chytřejší - ze všech svých webů mám čtení cookies jen na jediném řádku jediného webu a to ještě jen pro mou vlastní potřebu :-)).


	Straka82 11.4.2007 12:52	1815
	Prece na cookies je zase pole $_COOKIE :)


	Johny_G - Relaxační terapie pro lopušáky ZDARMA! 11.4.2007 12:51	1813
	Straka82 [1810]: Ale počkej, to je blbost, ne? Přeci nebudou rušit čtení z hlaviček (HTTP_*_VARS), to by šly do pytle i cookies, ne?


	Johny_G - Relaxační terapie pro lopušáky ZDARMA! 11.4.2007 12:46	1812
	No tak až to přijde, tak těch pár řádků přidám, no ;-).


	Straka82 11.4.2007 12:35	1811
	Takze jestli jsem to pochopil spravne, tak od verze 6 budes nucen pouzivat pouze $_GET a stranky co mas ted nebudou fungovat, pokud teda nebudes mit porad nainstalovanou petku, ale to nekdy nemuzes ovlivnt.


	Straka82 11.4.2007 12:33	1810
	Pro Johny_GPHP 6, in development as of October 2006, aims to address some of PHP 5's shortcomings. * Native Unicode support will be added; * The magic_quotes option will be removed; * The HTTP__VARS option will be removed; The register_globals option will be removed; * The safe_mode option will be removed. In addition, there has been discussion of adding namespace support.


	Johny_G - Relaxační terapie pro lopušáky ZDARMA! 11.4.2007 12:29	1809
	Bredy [1804]: Já používám globals zcela pokaždé namísto GET (v momentě, kdy je hodnota proměnné v URL je podstrčení hodnoty natolik snadné a nedůležité, že nevidím důvod, proč by to tam někdo tlačil jinou cestou :-)) a u těch POSTů, ve kterých jsem metodu POST použil jen proto, abych nepřeplácal URL a jakékoli podstrkování mě nijak neohrožuje. U sessions, cookies a důležitějších POST používám pole. Podle mě se za těchto okolností o bezpečnostní riziko nejedná.


	tvx Myslet si, že svět je JEN takový, jak - ho v daný čas můžeme pochopit je hloupé. 11.4.2007 11:56	1808
	mě z toho akorát vychází že Register_globals=ÓN aneb jak si v tom dělat větší binec a dělat to co nejvíc složitě... :c] přeci jen mi přijde snadnější, přebírat si hodnoty co potřebuju ze vstupu, nežli kontrolovat, že úplně všechny proměnné ve skriptu mám ošetřeny tak, aby mi do nich nikdo nic ze vstupu nepodstrčil...


	pepak - Pepak.net 11.4.2007 11:19	1807
	Kdokoliv: Ale s tim hackem Zive jsme zase u toho, ze programator aplikace neosetril mozne vstupy a v dusledku se mu do toho nekdo proboril. Ze to bylo poslanim cookie nebo neceho jineho je naprosto nepodstatne - uplne presne stejne by to fungovalo i pres GET nebo POST.


	Kdokoliv Nevidím důvod dělat cokoliv bezdůvodně. - http://kkl2401.wz.cz 11.4.2007 11:14	1806
	pepak [1805]: Ano, bezpecne lze psat v libovolnem programovacim jazyce. Jenom se meni pocty lidi behajicich po planete, kteri v kterem jazyce dokazou bezpecne psat. Pokud jde o bod 3, tak zajimat by Te to melo, videl jsem jeden hack udelanej prave za pomoci toho, ze autor cekal, ze mu prijde neco POSTem (nebo GETem, uz nevim) a uzivatel mu tam pres COOKIE podstrcil neco uplne jineho. Samozrejme to nebylo asi jedine, pres co to bylo hacknuto, ale byl to pomerne fundamentalni kamen (myslim, ze slo tehdy o hacknuti administracniho rozhrani zive.cz, takze podrobnosti by asi dohledat slo).


	pepak - Pepak.net 11.4.2007 10:56	1805
	Bredy: 1) Viz funkce extract(). 2) Pokud je kod blbe napsany, je rizikem i $_GET apod. Pokud je kod napsany dobre, register_globals nicemu nevadi. 3) Session je trochu jiny pripad, ale proc by te u GET/POST/COOKIE melo zajimat, odkud konkretne hodnota prisla? Abys uzivateli znemoznil pouzivat ten zpusob otvirani stranky, ktery mu nejvic vyhovuje? 4) Vzdycky muzes na zacatku skriptu smazat vsechny globalni promenne. 5) Viz 2.


	11.4.2007 10:49	1804
	Johny_G Postupně se od register_globals na různých hostinzích opouští Přináší výrazné bezpečností riziku (není problém vnutit určité proměnné hodnotu jednoduchým napsáním do URL a pokud to ve skriptu není explicitně ošetřeno, hack je na cestě. Nejsi schopen odlišit zda se jedná o GET, POST nebo COOKIE a co hur ani nepoznas zda to nahodou neni SESSION. Takze opet prostor pro nejake hackovani z vnejsku Pro stare skripty,vypnute register_globals lze snadno emulovat primo ve skriptu, naopak pokud je nekdo zapne, tak se jich nezbavis. Kdyz uz nekomu chybi, je lepsi extrahovat globals rucne, napriklad funkci import_request_variables(), kde dokonce muzes urcit prefix. Ja casto pouzivam "in_" takze promenne se jmenuji $in_page, nebo $in_jmeno, $in_heslo, $in_p, atd... tohle je taky prakticky nehaknutelné

[ 1845 ]

<Novější <<<Nejnovější Nejstarší>>> Starší>


(c) 2001-2011 Lopuch.cz Kontakt