$Proverka=mysql_query("SELECT Rating FROM Moderator WHERE Name='$t' ");
Скажите возможно воспользоваться в неблагоприятных целях для меня тем,что переменную $_GET['var'] пользователь может указать сам, т.е. пользователь может как-нибудь здесь повлиять на безопастность?
----- new01
Мелкий
Отправлено: 15 Июня, 2011 - 12:33:25
Активный участник
Покинул форум
Сообщений всего: 11926
Дата рег-ции: Июль 2009 Откуда: Россия, Санкт-Петербург
Помог: 618 раз(а)
Само собой, может.
----- PostgreSQL DBA
new01
Отправлено: 15 Июня, 2011 - 12:35:18
Посетитель
Покинул форум
Сообщений всего: 301
Дата рег-ции: Июнь 2010 Откуда: Челябинск
Помог: 1 раз(а)
Скажите как? И как можно это исправить?
----- new01
Мелкий
Отправлено: 15 Июня, 2011 - 12:45:02
Активный участник
Покинул форум
Сообщений всего: 11926
Дата рег-ции: Июль 2009 Откуда: Россия, Санкт-Петербург
Помог: 618 раз(а)
iframe запрашивает браузер. Всё, что делает браузер небезопасно для сервера по определению.
Защита как обычно - s/выключить сервер/фильтрация всего, что пришло.
----- PostgreSQL DBA
new01
Отправлено: 15 Июня, 2011 - 12:48:39
Посетитель
Покинул форум
Сообщений всего: 301
Дата рег-ции: Июнь 2010 Откуда: Челябинск
Помог: 1 раз(а)
Т.е. надо отфильтровать переменную $_GET['var'] .Написать для нёё регул. выражение или что-нибудь т.п. ? Правильно я вас понял?
----- new01
Slavenin
Отправлено: 15 Июня, 2011 - 12:56:51
Посетитель
Покинул форум
Сообщений всего: 285
Дата рег-ции: Май 2010 Откуда: Тверь
Помог: 4 раз(а)
а собственно зачем вам iframe? возможно можно обойтись без него? через ajax например
Все гости форума могут просматривать этот раздел. Только зарегистрированные пользователи могут создавать новые темы в этом разделе. Только зарегистрированные пользователи могут отвечать на сообщения в этом разделе.