Warning: Cannot use a scalar value as an array in /home/admin/public_html/forum/include/fm.class.php on line 757

Warning: Invalid argument supplied for foreach() in /home/admin/public_html/forum/include/fm.class.php on line 770

Warning: Invalid argument supplied for foreach() in /home/admin/public_html/forum/topic.php on line 737
Форумы портала PHP.SU :: iframe Безопасность

PHP.SU

Программирование на PHP, MySQL и другие веб-технологии

PHP.SU Портал

Главная

Помощь

Поиск

Поиск Яндекс Вакансии

Пользователи

Здравствуйте, Гость

( Вход · Регистрация · Правила форума )

Забыли пароль?

iframe Безопасность

Форумы портала PHP.SU » PHP » Программирование на PHP » HTTP и PHP (Модераторы: OrmaJever, Саныч)

Страниц (1): [1]

Без описания

Поиск в теме | Версия для печати

new01	Отправлено: 15 Июня, 2011 - 12:30:10
Посетитель Покинул форум Сообщений всего: 301 Дата рег-ции: Июнь 2010 Откуда: Челябинск Помог: 1 раз(а)	Несколько вопросов. Делаю iframe, не буду объяснять что это такое ,надеюсь все знают.) PHP: скопировать код в буфер обмена echo" <iframe src=\"rek.php?var=name\" width='468' height=\"360\" align=\"left\"> Ваш браузер не поддерживает плавающие фреймы! </iframe>"; Страница rek.php берёт переменную $_GET['var'] и ищёт пользователя в БД. PHP: скопировать код в буфер обмена $t=$_GET['var']; $Proverka= mysql_query("SELECT Rating FROM Moderator WHERE Name='$t' "); Скажите возможно воспользоваться в неблагоприятных целях для меня тем,что переменную $_GET['var'] пользователь может указать сам, т.е. пользователь может как-нибудь здесь повлиять на безопастность? ----- new01

Мелкий	Отправлено: 15 Июня, 2011 - 12:33:25
Активный участник Покинул форум Сообщений всего: 11926 Дата рег-ции: Июль 2009 Откуда: Россия, Санкт-Петербург Помог: 618 раз(а)	Само собой, может. ----- PostgreSQL DBA

new01	Отправлено: 15 Июня, 2011 - 12:35:18
Посетитель Покинул форум Сообщений всего: 301 Дата рег-ции: Июнь 2010 Откуда: Челябинск Помог: 1 раз(а)	Скажите как? И как можно это исправить? ----- new01

Мелкий	Отправлено: 15 Июня, 2011 - 12:45:02
Активный участник Покинул форум Сообщений всего: 11926 Дата рег-ции: Июль 2009 Откуда: Россия, Санкт-Петербург Помог: 618 раз(а)	iframe запрашивает браузер. Всё, что делает браузер небезопасно для сервера по определению. Защита как обычно - s/выключить сервер/фильтрация всего, что пришло. ----- PostgreSQL DBA

new01	Отправлено: 15 Июня, 2011 - 12:48:39
Посетитель Покинул форум Сообщений всего: 301 Дата рег-ции: Июнь 2010 Откуда: Челябинск Помог: 1 раз(а)	Т.е. надо отфильтровать переменную $_GET['var'] .Написать для нёё регул. выражение или что-нибудь т.п. ? Правильно я вас понял? ----- new01

Slavenin	Отправлено: 15 Июня, 2011 - 12:56:51
Посетитель Покинул форум Сообщений всего: 285 Дата рег-ции: Май 2010 Откуда: Тверь Помог: 4 раз(а)	а собственно зачем вам iframe? возможно можно обойтись без него? через ajax например ----- http://www[dot]i2p2[dot]de/index_ru[dot]html

new01	Отправлено: 15 Июня, 2011 - 12:58:35
Посетитель Покинул форум Сообщений всего: 301 Дата рег-ции: Июнь 2010 Откуда: Челябинск Помог: 1 раз(а)	Slavenin, раз сказали, можно поподробнее. . . ----- new01

Slavenin	Отправлено: 16 Июня, 2011 - 08:55:17
Посетитель Покинул форум Сообщений всего: 285 Дата рег-ции: Май 2010 Откуда: Тверь Помог: 4 раз(а)	new01 пишет: Slavenin, раз сказали, можно поподробнее. . . Slavenin пишет: а собственно зачем вам iframe? какие именно действия производит rek.php?var=name ? http://javascript[dot]ru/ajax/intro http://xmlhttprequest[dot]ru/ (Отредактировано автором: 16 Июня, 2011 - 08:56:57) ----- http://www[dot]i2p2[dot]de/index_ru[dot]html

new01	Отправлено: 16 Июня, 2011 - 10:41:49
Посетитель Покинул форум Сообщений всего: 301 Дата рег-ции: Июнь 2010 Откуда: Челябинск Помог: 1 раз(а)	Slavenin пишет: какие именно действия производит rek.php?var=name ? Просто выводит информацию о пользователе $_GET['var']. Думаю аякс здесь ни к чему. Вы согласны со мной? ----- new01

Slavenin	Отправлено: 16 Июня, 2011 - 17:16:21
Посетитель Покинул форум Сообщений всего: 285 Дата рег-ции: Май 2010 Откуда: Тверь Помог: 4 раз(а)	new01 пишет: Просто выводит информацию о пользователе $_GET['var']. Думаю аякс здесь ни к чему. Вы согласны со мной? не совсем, я бы делал джавой отдельный див и грузил туда аяксом нужную инфу. ----- http://www[dot]i2p2[dot]de/index_ru[dot]html

Поиск в теме | Версия для печати

Страниц (1): [1]

Сейчас эту тему просматривают: 0 (гостей: 0, зарегистрированных: 0)

« HTTP и PHP »

Все гости форума могут просматривать этот раздел.
Только зарегистрированные пользователи могут создавать новые темы в этом разделе.
Только зарегистрированные пользователи могут отвечать на сообщения в этом разделе.