LinkBack URL
About LinkBackssalve,
usando il metodo GET quali pericoli si possono correre?
come fare per evitare questi pericoli ?
io uso questa cosa ( forse non efficace)
avete consigli ?Codice PHP:$pagina=$_GET['pagina'];
$possibili_pagine= array('pagina','pagina1','pagina2');
if(in_array($pagina,$possibili_pagine)){
$ok=true;}else{$ok=false;}
if($ok){echo"pagina esistente";}else{echo"pagina non esistente";}
grazie in anticipo
Visualizzazione risultati 1 fino 11 di 11
Discussione: [php] sicurezza con $_GET
-
16-04-2009, 19.01.59 #1Guest
[php] sicurezza con $_GET
Ultima modifica di babilonia6 : 16-04-2009 alle ore 19.03.07
-
16-04-2009, 19.07.25 #2Guest
Come metodo il tuo è molto sicuro! Se la variabile che passi è un numero potresti anche forzare la stringa ad essere un numero..
Ad esempio:
Se non viene inserito un numero $id vale 0.Codice PHP:$id = (int)$_GET['id'];
-
16-04-2009, 19.12.21 #3
Utente attivo
- Data registrazione
- 25-03-2008
- Messaggi
- 440
Hai gia fatto un buon lavoro, usando in_array scongiuri ogni rischio di LFI :)
Consigli? Bhè, Non ho capito perchè fare due if che ritornano sicuramente lo stesso valore: prima verifichi che $pagina sia nell'array e assegni un valore booleano a $ok, poi controlli il valore di quest'ultima variabile :S
Ha poco senso, no?
Poi per evitare di portarti dietro tutto il blocco else puoi chiamare exit() nell'if :)
EDIT - @nokiagames: e il senso quale sarebbe? Tanto verifica che $_GET['id'], indipendentemente dal tipo, sia contenuta nell'array...Codice PHP:$pagina=$_GET['pagina'];
$possibili_pagine= array('pagina','pagina1','pagina2');
if(!in_array($pagina,$possibili_pagine))
exit('pagina non esistente');
// inizio codice da eseguire se $pagina è contenuto in $possibili_pagine
Ciao!Ultima modifica di programmazioned : 16-04-2009 alle ore 21.20.12
-
16-04-2009, 21.57.50 #4Guest
grazie
qualche altra dritta o va bene così ?
-
16-04-2009, 22.01.29 #5Guest
Credo vada bene così pure io, io lo feci tempo fa, anche perchè io utilizzo alcune funzioni con cui dovrei stare attento, ma con questo metodo, di usare in_array() dovresti stare molto tranquillo
Originalmente inviato da babilonia6
grazie
qualche altra dritta o va bene così ?
-
16-04-2009, 22.04.55 #6Guest
ok, speriamo bene :D
-
16-04-2009, 22.08.07 #7Guest
non per scoraggiarti, ma se uno vuole bucarti il sito, puoi mettere tutti i controlli che vuoi, ma se è uno in gamba lo fa (non dico deface, sarebbe un Accher (
)), e ti spiegherà come evitare quel buco
-
16-04-2009, 22.10.32 #8Guest
beh si ovvio , però ho visto siti bucati a causa di link in get , tramite qualche shell (se non erro) e ho chiesto qui ..
-
16-04-2009, 22.11.50 #9Guest
Dipende anche da come è configurato il server, per esempio qui su Altervista l'include()di file esterni al sito dove si dovrebbe includere è bloccato, in poche parole puoi solo includere file locali
-
16-04-2009, 22.19.40 #10Guest
si avevo letto su qualche post qui
un'altra domandina , io passo delle info in get ( esempio: azione eseguita con successo) con urlencode() che poi metto nel link e lo stampo là dove serve , dovrei controllare anche quello ?
-
17-04-2009, 09.49.09 #11Guest
Ti basta secondo me solo usare htmlentities() sulla variabile che ricavi via get
