Warning: Cannot use a scalar value as an array in /home/admin/public_html/forum/include/fm.class.php on line 757

Warning: Invalid argument supplied for foreach() in /home/admin/public_html/forum/include/fm.class.php on line 770
Форумы портала PHP.SU :: Версия для печати :: iframe Безопасность
Форумы портала PHP.SU » » HTTP и PHP » iframe Безопасность

Страниц (1): [1]
 

1. new01 - 15 Июня, 2011 - 12:30:10 - перейти к сообщению
Несколько вопросов.
Делаю iframe, не буду объяснять что это такое ,надеюсь все знают.)
PHP:
скопировать код в буфер обмена
  1.  
  2. echo" <iframe src=\"rek.php?var=name\" width='468' height=\"360\" align=\"left\">
  3.    Ваш браузер не поддерживает плавающие фреймы!
  4. </iframe>";
  5.  

Страница rek.php берёт переменную $_GET['var'] и ищёт пользователя в БД.

PHP:
скопировать код в буфер обмена
  1.  
  2. $t=$_GET['var'];
  3. $Proverka= mysql_query("SELECT Rating FROM Moderator WHERE Name='$t' ");
  4.  

Скажите возможно воспользоваться в неблагоприятных целях для меня тем,что переменную $_GET['var'] пользователь может указать сам, т.е. пользователь может как-нибудь здесь повлиять на безопастность?
2. Мелкий - 15 Июня, 2011 - 12:33:25 - перейти к сообщению
Само собой, может.
3. new01 - 15 Июня, 2011 - 12:35:18 - перейти к сообщению
Скажите как? И как можно это исправить?
4. Мелкий - 15 Июня, 2011 - 12:45:02 - перейти к сообщению
iframe запрашивает браузер. Всё, что делает браузер небезопасно для сервера по определению.
Защита как обычно - s/выключить сервер/фильтрация всего, что пришло.
5. new01 - 15 Июня, 2011 - 12:48:39 - перейти к сообщению
Т.е. надо отфильтровать переменную $_GET['var'] .Написать для нёё регул. выражение или что-нибудь т.п. ? Правильно я вас понял?
6. Slavenin - 15 Июня, 2011 - 12:56:51 - перейти к сообщению
а собственно зачем вам iframe? возможно можно обойтись без него? через ajax например Улыбка
7. new01 - 15 Июня, 2011 - 12:58:35 - перейти к сообщению
Slavenin, раз сказали, можно поподробнее. . .
8. Slavenin - 16 Июня, 2011 - 08:55:17 - перейти к сообщению
new01 пишет:
Slavenin, раз сказали, можно поподробнее. . .

Slavenin пишет:
а собственно зачем вам iframe?

какие именно действия производит rek.php?var=name ?

http://javascript[dot]ru/ajax/intro
http://xmlhttprequest[dot]ru/
9. new01 - 16 Июня, 2011 - 10:41:49 - перейти к сообщению
Slavenin пишет:
какие именно действия производит rek.php?var=name ?

Просто выводит информацию о пользователе $_GET['var']. Думаю аякс здесь ни к чему. Вы согласны со мной?
10. Slavenin - 16 Июня, 2011 - 17:16:21 - перейти к сообщению
new01 пишет:
Просто выводит информацию о пользователе $_GET['var']. Думаю аякс здесь ни к чему. Вы согласны со мной?

не совсем, я бы делал джавой отдельный див и грузил туда аяксом нужную инфу.

 

Powered by ExBB FM 1.0 RC1