Warning: Cannot use a scalar value as an array in /home/admin/public_html/forum/include/fm.class.php on line 757

Warning: Invalid argument supplied for foreach() in /home/admin/public_html/forum/include/fm.class.php on line 770

Warning: Invalid argument supplied for foreach() in /home/admin/public_html/forum/topic.php on line 737
Форумы портала PHP.SU :: безопасное использование $_POST

PHP.SU

Программирование на PHP, MySQL и другие веб-технологии

PHP.SU Портал

Главная

Помощь

Поиск

Поиск Яндекс Вакансии

Пользователи

Здравствуйте, Гость

( Вход · Регистрация · Правила форума )

Забыли пароль?

безопасное использование $_POST

Форумы портала PHP.SU » PHP » Программирование на PHP » Вопросы новичков (Модераторы: OrmaJever, Саныч, Строитель)

Страниц (1): [1]

Без описания

Поиск в теме | Версия для печати

Vaio	Отправлено: 09 Декабря, 2012 - 12:35:22
Гость Покинул форум Сообщений всего: 116 Дата рег-ции: Дек. 2012 Помог: 0 раз(а)	Уважаемые форумчани, возникла необходимость передачи данных через post и запись их в бд. И тут я задумался о безопасности. И из всего, что нашел в гугле написал такой код Форма: Спойлер (Отобразить) CODE (html): скопировать код в буфер обмена <form method="post" action="test_post.php"> <?php $_SESSION["verify"]=md5(uniqid(rand(),1)); echo "<input type='hidden' name='verify' value='{$_SESSION['verify']}' />"; ?> <input type="hidden" name="id" value="<?php $id ?>" /> <input type="text" name="test" value="<?php htmlspecialchars($test) ?>" /> <input type="submit" value="Save Changes" class="button green" /> <input type="reset" value="Cancel Changes" class="button red" /> </form> Файл test_post.php: Спойлер (Отобразить) PHP: скопировать код в буфер обмена <? session_start(); if ($_POST["Submit"]){ if (!preg_match("/^(http://".$_SERVER["HTTP_HOST"]."/)(.*?)+$/",$_SERVER["HTTP_REFERER"],$matches)){ die('<b>Access Denied</b>'); } if ($_SESSION["verify"]<>$_POST["verify"]){ die('<b>Access Denied</b>'); } unset($_SESSION["verify"]); } require( "./configuration.php" ); include( "./include.php" ); $id= intval($_POST['id']); $myrow = mysql_query( "SELECT `test` from `table` WHERE `id` = '".mysql_real_escape_string($id)."' LIMIT 1" ); if(!mysql_num_rows($myrow)){ die('<b>Access Denied</b>'); } else { mysql_fetch_assoc($myrow); $test= trim(mysql_real_escape_string(substr($_POST["test"], 0, 64))); mysql_query("UPDATE `server` SET `test` = '$test' WHERE `id` = '$id' LIMIT 1"); header( "Location: test.php?id=".$id.""); } ?> Просьба знатоков посмотреть и если есть уязвимости подсказать как исправить.

isvetlichniy	Отправлено: 09 Декабря, 2012 - 13:23:23
Гость Покинул форум Сообщений всего: 69 Дата рег-ции: Дек. 2012 Откуда: Украина Помог: 0 раз(а)	ИМХО, для твоих нужд вполне достаточно mysql_real_escape_string (Отредактировано автором: 09 Декабря, 2012 - 13:24:06) ----- В помощь web-мастеру: библиотека, обсуждения

LIME	Отправлено: 09 Декабря, 2012 - 13:40:48
Активный участник Покинул форум Сообщений всего: 10732 Дата рег-ции: Нояб. 2010 Помог: 322 раз(а)	5шт презервативов сразу))

AlexAnder	Отправлено: 09 Декабря, 2012 - 13:54:56
Частый посетитель Покинул форум Сообщений всего: 915 Дата рег-ции: Авг. 2012 Откуда: Россия Помог: 34 раз(а)	LIME пишет: 5шт презервативов сразу)) почему 5? я только 2 функции фильтра нашёл http://www.php.su/trim " target="_blank">trim и mysql_real_escape_string PHP: скопировать код в буфер обмена trim(mysql_real_escape_string(substr($_POST["test"], 0, 64))); ----- Оказывается, недостаточно читать справочники, чтобы правильно писать коды. sadex © Форумы стали местом обучения программированию, а не решения трудных вопросов. KingStar ©

Vaio	Отправлено: 09 Декабря, 2012 - 14:00:31
Гость Покинул форум Сообщений всего: 116 Дата рег-ции: Дек. 2012 Помог: 0 раз(а)	И на выходе Vaio пишет: <input type="text" name="test" value="<?php htmlspecialchars($test) ?>" />

Поиск в теме | Версия для печати

Страниц (1): [1]

Сейчас эту тему просматривают: 0 (гостей: 0, зарегистрированных: 0)

« Вопросы новичков »

Все гости форума могут просматривать этот раздел.
Только зарегистрированные пользователи могут создавать новые темы в этом разделе.
Только зарегистрированные пользователи могут отвечать на сообщения в этом разделе.