Registrace nového uživatele     Návod     Kluby     Archív  Lopuchu     Lopuch.cz  

Diskuze na Lopuchu,
pohlazení na duchu

Lopuch.cz
Jméno:
Heslo:
Podpora LCD:
 
Klub PHP [ŽP: neomezená] (kategorie Programování) moderuje makovec.
Archiv
Diskuse o vybornem skriptovacim jazyku php. Dulezite odkazy, pred polozenim dotazu zkuste hledat odpoved zde:
  1. www.php.net - domovská stránka PHP
  2. www.kosek.cz - spousta tutorialu pro PHP v češtině
  Nastavení klubu     Nastavení práv     Homepage     Anketa     Přítomní     Oblíbené     Lopuch     Kategorie  
autor: 
text: 
vyplnit a 
Help
 Titulek, text příspěvku  
Opište pozpátku následující text bez prostředního znaku: oqygojq
[ 1845 ] <Novější  <<<Nejnovější  Nejstarší>>>  Starší>  
johny_g Johny_G - Relaxační terapie pro lopušáky ZDARMA! 11.4.2007 12:51  1813
Straka82 [1810]: Ale počkej, to je blbost, ne? Přeci nebudou rušit čtení z hlaviček (HTTP_*_VARS), to by šly do pytle i cookies, ne?
johny_g Johny_G - Relaxační terapie pro lopušáky ZDARMA! 11.4.2007 12:46  1812
No tak až to přijde, tak těch pár řádků přidám, no ;-).
straka82 Straka82 11.4.2007 12:35  1811
Takze jestli jsem to pochopil spravne, tak od verze 6 budes nucen pouzivat pouze $_GET a stranky co mas ted nebudou fungovat, pokud teda nebudes mit porad nainstalovanou petku, ale to nekdy nemuzes ovlivnt.
straka82 Straka82 11.4.2007 12:33  1810
Pro Johny_GPHP 6, in development as of October 2006, aims to address some of PHP 5's shortcomings.

* Native Unicode support will be added;
* The magic_quotes option will be removed;
* The HTTP_*_VARS option will be removed;
* The register_globals option will be removed;
* The safe_mode option will be removed.

In addition, there has been discussion of adding namespace support.
johny_g Johny_G - Relaxační terapie pro lopušáky ZDARMA! 11.4.2007 12:29  1809
Bredy [1804]: Já používám globals zcela pokaždé namísto GET (v momentě, kdy je hodnota proměnné v URL je podstrčení hodnoty natolik snadné a nedůležité, že nevidím důvod, proč by to tam někdo tlačil jinou cestou :-)) a u těch POSTů, ve kterých jsem metodu POST použil jen proto, abych nepřeplácal URL a jakékoli podstrkování mě nijak neohrožuje. U sessions, cookies a důležitějších POST používám pole. Podle mě se za těchto okolností o bezpečnostní riziko nejedná.
tvx tvx Myslet si, že svět je JEN takový, jak - ho v daný čas můžeme pochopit je hloupé. 11.4.2007 11:56  1808
mě z toho akorát vychází že Register_globals=ÓN aneb jak si v tom dělat větší binec a dělat to co nejvíc složitě... :c]

přeci jen mi přijde snadnější, přebírat si hodnoty co potřebuju ze vstupu, nežli kontrolovat, že úplně všechny proměnné ve skriptu mám ošetřeny tak, aby mi do nich nikdo nic ze vstupu nepodstrčil...
pepak pepak - Pepak.net 11.4.2007 11:19  1807
Kdokoliv: Ale s tim hackem Zive jsme zase u toho, ze programator aplikace neosetril mozne vstupy a v dusledku se mu do toho nekdo proboril. Ze to bylo poslanim cookie nebo neceho jineho je naprosto nepodstatne - uplne presne stejne by to fungovalo i pres GET nebo POST.
kdokoliv Kdokoliv Nevidím důvod dělat cokoliv bezdůvodně. - http://kkl2401.wz.cz 11.4.2007 11:14  1806
pepak [1805]: Ano, bezpecne lze psat v libovolnem programovacim jazyce. Jenom se meni pocty lidi behajicich po planete, kteri v kterem jazyce dokazou bezpecne psat.
Pokud jde o bod 3, tak zajimat by Te to melo, videl jsem jeden hack udelanej prave za pomoci toho, ze autor cekal, ze mu prijde neco POSTem (nebo GETem, uz nevim) a uzivatel mu tam pres COOKIE podstrcil neco uplne jineho. Samozrejme to nebylo asi jedine, pres co to bylo hacknuto, ale byl to pomerne fundamentalni kamen (myslim, ze slo tehdy o hacknuti administracniho rozhrani zive.cz, takze podrobnosti by asi dohledat slo).
pepak pepak - Pepak.net 11.4.2007 10:56  1805
Bredy:
1) Viz funkce extract().
2) Pokud je kod blbe napsany, je rizikem i $_GET apod. Pokud je kod napsany dobre, register_globals nicemu nevadi.
3) Session je trochu jiny pripad, ale proc by te u GET/POST/COOKIE melo zajimat, odkud konkretne hodnota prisla? Abys uzivateli znemoznil pouzivat ten zpusob otvirani stranky, ktery mu nejvic vyhovuje?
4) Vzdycky muzes na zacatku skriptu smazat vsechny globalni promenne.
5) Viz 2.
bredy 11.4.2007 10:49  1804
Johny_G

  1. Postupně se od register_globals na různých hostinzích opouští
  2. Přináší výrazné bezpečností riziku (není problém vnutit určité proměnné hodnotu jednoduchým napsáním do URL a pokud to ve skriptu není explicitně ošetřeno, hack je na cestě.
  3. Nejsi schopen odlišit zda se jedná o GET, POST nebo COOKIE a co hur ani nepoznas zda to nahodou neni SESSION. Takze opet prostor pro nejake hackovani z vnejsku
  4. Pro stare skripty,vypnute register_globals lze snadno emulovat primo ve skriptu, naopak pokud je nekdo zapne, tak se jich nezbavis.
  5. Kdyz uz nekomu chybi, je lepsi extrahovat globals rucne, napriklad funkci import_request_variables(), kde dokonce muzes urcit prefix. Ja casto pouzivam "in_" takze promenne se jmenuji $in_page, nebo $in_jmeno, $in_heslo, $in_p, atd... tohle je taky prakticky nehaknutelné
themajkl themajkl All those moments will be lost in time - like tears in rain. 11.4.2007 07:15  1803
Bredy [1802]: Jo tak, tak o tom netuším nic.
bredy 11.4.2007 01:30  1802
themajklPockej, me se jedna o metodu extrakce nahledu primo z DCT, kde se vyuzivalo faktu, ze nejnizsi harmonicka kazdeho ctverecku odpovida presne prumerne barve ctverecku. Tohoto algoritmu se vyuzivalo prave na tehdy pomalych pocitacich programem qickjpeg.
themajkl themajkl All those moments will be lost in time - like tears in rain. 10.4.2007 22:56  1801
Bredy [1799]: Není tomu tak. Ano, v JPG je možné mít uložen náhled obrázku a při vytváření primárních dat (třeba to, co leze z digitálního foťáku) to tam je skoro určitě. Jenže se na to nedá spoléhat, ne každý JPG to v sobě má. Editační grafické programy mívají volbu, co s náhledem př ukládání udělat. Občas o tom někdo neví a pak vznikne JPG, který obsahuje jako náhled úplně jiný obrázek :-)
Nicméně pro generování náhledů to rozhodně není spolehlivá metoda.
johny_g Johny_G - Relaxační terapie pro lopušáky ZDARMA! 10.4.2007 22:48  1800
Bredy [1798]: Já používám globals pro svou pohodlnost ;-). To byste mi museli předložit pádné argumenty, abych přešel na GET :-). U POST je to trochu něco jiného.
bredy 10.4.2007 22:46  1799
Cetl jsem, ze kazdy JPEG uklada 8x zmenseninu obrazku. Kdysi davno na to existoval program na prohlizeni quickpeg, ktery umel generovat rychle nahledy z techto zmensenin. Neznate nekdo skriptik, ktery by to umel vyextrahovat?
[ 1845 ] <Novější  <<<Nejnovější  Nejstarší>>>  Starší>  

(c) 2001-2011 Lopuch.cz   
Kontakt