else if($s=='chitka_s') include('stran/views_mail_s.php');
else if($s=='vfaframe') include('stran/vfsda.php');
else
include('stran/404.php')Достаточно ли такой обработки?
function hakzachita($mensaje)
{
$mensaje = htmlentities(stripslashes(trim($mensaje)));
$mensaje = str_replace("'"," ",$mensaje);
$mensaje = str_replace(";"," ",$mensaje);
$mensaje = str_replace("$"," ",$mensaje);
return $mensaje;
}
$s=$_GET["s"];
$s = hakzachita($s);
Спустя 18 минут, 27 секунд (15.03.2011 - 13:49) Invis1ble написал(а):
VELIK505
а как s связано с самими инклудами, т.е. зачем эти данные вообще обрабатывать? Они ведь не испоьзуются непосредственно в пути к файлу
а как s связано с самими инклудами, т.е. зачем эти данные вообще обрабатывать? Они ведь не испоьзуются непосредственно в пути к файлу
Спустя 3 минуты, 4 секунды (15.03.2011 - 13:52) VELIK505 написал(а):
Нет я про то чтобы через адресную строку не ломанули.
Файлы то понятно я даю открывать только те страницы которые есть! Т.е подменить страницу невозможно!
Меня интересует чтобы не какой бяки туда не пустили через адресную строку. какую нить php иньекцию напишут
Файлы то понятно я даю открывать только те страницы которые есть! Т.е подменить страницу невозможно!
Меня интересует чтобы не какой бяки туда не пустили через адресную строку. какую нить php иньекцию напишут
Спустя 8 минут, 27 секунд (15.03.2011 - 14:00) Invis1ble написал(а):
VELIK505
Ну ты ведь используешь переменную $_GET['s'] только в проверке условий? Как тебя могут ломануть? Насколько я знаю, в данном случае это исключено.
Ну ты ведь используешь переменную $_GET['s'] только в проверке условий? Как тебя могут ломануть? Насколько я знаю, в данном случае это исключено.
Спустя 12 минут, 45 секунд (15.03.2011 - 14:13) VELIK505 написал(а):
| Цитата (Invis1ble @ 15.03.2011 - 11:00) |
| VELIK505 Ну ты ведь используешь переменную $_GET['s'] только в проверке условий? Как тебя могут ломануть? Насколько я знаю, в данном случае это исключено. |
Мне надо точно знать. Лучше перестраховаться.
Спустя 20 минут, 8 секунд (15.03.2011 - 14:33) Invis1ble написал(а):
Ok. Жди других ответов, думаю они врядли чем-то принципиально от моих будут отличаться
Спустя 25 минут, 20 секунд (15.03.2011 - 14:58) imbalance_hero написал(а):
VELIK505
В ядре создаёшь переменную, в присоединённых файлах проверяешь её существование. Если отсутствует - exit(); , как на ирбисе. Защита от прямого открытия страниц.
В ядре создаёшь переменную, в присоединённых файлах проверяешь её существование. Если отсутствует - exit(); , как на ирбисе. Защита от прямого открытия страниц.
Спустя 49 минут, 23 секунды (15.03.2011 - 15:48) VELIK505 написал(а):
| Цитата (imbalance_hero @ 15.03.2011 - 11:58) |
| VELIK505 В ядре создаёшь переменную, в присоединённых файлах проверяешь её существование. Если отсутствует - exit(); , как на ирбисе. Защита от прямого открытия страниц. |
Ну у меня прямые пути на страницы то закрыты через htaccess
Все файлы (страницы) собраны в отдельную папку и закрыты через хтацес.
А инклюдом выводятся.
А если страницы нет на сайте то 404 и пошёл на.
Спустя 18 минут, 9 секунд (15.03.2011 - 16:06) imbalance_hero написал(а):
VELIK505
В скрипте надежнее =) Да если и так, то в чём проблема в целом? Никак на прямую не обратится, нет смысла защищаться.
В скрипте надежнее =) Да если и так, то в чём проблема в целом? Никак на прямую не обратится, нет смысла защищаться.
Спустя 1 минута, 15 секунд (15.03.2011 - 16:07) VELIK505 написал(а):
| Цитата (imbalance_hero @ 15.03.2011 - 13:06) |
| VELIK505 В скрипте надежнее =) Да если и так, то в чём проблема в целом? Никак на прямую не обратится, нет смысла защищаться. |
Да некоторые странички вяжуться всё же с базой.
мне сказали что $s надо обработать function CheckInput($mess)
например так
или function valid($mess)
только я не знаю как это=(