Форум: Форум PHPФорум ApacheФорум Регулярные ВыраженияФорум MySQLHTML+CSS+JavaScriptФорум FlashРазное
Новые темы: 0000000
PHP на примерах (2 издание). Авторы: Кузнецов М.В., Симдянов И.В. Самоучитель MySQL 5. Авторы: Кузнецов М.В., Симдянов И.В. PHP 5/6. В подлиннике. Авторы: Кузнецов М.В., Симдянов И.В. PHP Puzzles. Авторы: Кузнецов М.В., Симдянов И.В. PHP. Практика создания Web-сайтов (второе издание). Авторы: Кузнецов М.В., Симдянов И.В.
ВСЕ НАШИ КНИГИ
Консультационный центр SoftTime

Форум PHP

Выбрать другой форум

 

Здравствуйте, Посетитель!

вид форума:
Линейный форум (новые сообщения вниз) Структурный форум

тема: В 1001 раз об админкских правах и аутентификации

Сообщения:  [1-10]   [11-15] 

 
 автор: tvv123456   (19.09.2009 в 13:53)   письмо автору
 
   для: Trianon   (15.09.2009 в 10:50)
 

дак и я о том же

  Ответить  
 
 автор: Trianon   (15.09.2009 в 10:50)   письмо автору
 
   для: tvv123456   (14.09.2009 в 23:08)
 

и что, что суперглоб.массив?
Это не такая же переменная, как и остальные?

  Ответить  
 
 автор: Рома   (15.09.2009 в 00:15)   письмо автору
 
   для: tvv123456   (14.09.2009 в 23:08)
 

https://students.kiv.zcu.cz/doc/php5/manual/cs/security.magicquotes.php.html

Magic_quotes_gpc does NOT effect $_SERVER or $_ENV, I tested this myself on Windows with Apache and PHP 5. Removing slashes from them when there were none added to begin with ruins the variables in them!

Хотя возьмите, да и проверьте.

  Ответить  
 
 автор: tvv123456   (14.09.2009 в 23:08)   письмо автору
 
   для: Рома   (14.09.2009 в 12:32)
 

Извиняюсь но не вижу разницы, если присваиваю переменой значение суперглоб. массива то в итоге ничего не выигрываю. Или я ошибаюсь?

  Ответить  
 
 автор: Николай2357   (14.09.2009 в 16:32)   письмо автору
 
   для: tvv123456   (14.09.2009 в 12:29)
 

>То есть следует обработку проводить без всякого условия, всегда?
Да.

  Ответить  
 
 автор: Рома   (14.09.2009 в 12:32)   письмо автору
 
   для: tvv123456   (14.09.2009 в 12:29)
 

Просто обрабатывать переменную, а не суперглобальный массив

  Ответить  
 
 автор: tvv123456   (14.09.2009 в 12:29)   письмо автору
 
   для: Рома   (14.09.2009 в 12:27)
 

То есть следует обработку проводить без всякого условия, всегда?

  Ответить  
 
 автор: Рома   (14.09.2009 в 12:27)   письмо автору
 
   для: tvv123456   (14.09.2009 в 12:18)
 

Он имел в виду, что возможна инъекция.
вот так надо

$php_auth_user=$_SERVER['PHP_AUTH_USER'];

if(!g...c())
{
$php_auth_user=mysql_real_e...($php_auth_user);
}

  Ответить  
 
 автор: tvv123456   (14.09.2009 в 12:18)   письмо автору
 
   для: Николай2357   (14.09.2009 в 08:33)
 

Ну помоему на страницу все-равно не попасть или? На сколько я понял эта строка нужна лишь для подготовки переменных к запросу в базу именно если включены магические кавычки, если же они не включены то и обработки соответственно не ведеться, короче я не назвал бы это дырой?

  Ответить  
 
 автор: Николай2357   (14.09.2009 в 08:33)   письмо автору
 
   для: Рома   (14.09.2009 в 02:33)
 

При включенных магических кавычках не будет обработки данных. А так как magic_quotes не обрабатывает массив $_SERVER, соответственно - дырка.

  Ответить  

Сообщения:  [1-10]   [11-15] 

Форум разработан IT-студией SoftTime
Rambler's Top100
вверх

Rambler's Top100 Яндекс.Метрика Яндекс цитирования