Форум PHP программистов

[ Поиск ] - [ Пользователи ] - [ Календарь ]

Полная Версия: Hidden

creator_52

13.02.2012 - 23:42

Всем привет. Возможно вопрос относится исключительно к html, но все-же.
Могут ли злоумышленники, если очень сильно постараются, изменить значение поля "hidden" на свое?
Можно вопрос даже по-другому немножко сформулировать, более конкретно:
На странице отправки личного сообщения имеется форма с полем для ввода текста, кнопкой "отправить" и полем "hidden", в значении которого содержится индекс адресата. Так вот при проверке введенного текста стоит ли еще раз проверять адресата на валидность и не только?
Заранее спасибо.

Спустя 3 минуты, 4 секунды (13.02.2012 - 22:45) Invis1ble написал(а):

Цитата

Могут ли злоумышленники, если очень сильно постараются, изменить значение поля "hidden" на свое?

Как 2 байта переслать

Цитата

стоит ли еще раз проверять адресата на валидность и не только?

конечно

Спустя 22 минуты, 49 секунд (13.02.2012 - 23:08) creator_52 написал(а):

Тогда еще один вопрос - а команду "header" обойти можно?

Спустя 53 минуты, 52 секунды (14.02.2012 - 00:02) wplounge написал(а):

Цитата

тогда еще один вопрос - а команду "header" обойти можно?

Вопрос не понятен. Ты бы хоть пример привел, где обойти, зачем обойти?

Спустя 19 минут, 44 секунды (14.02.2012 - 00:22) creator_52 написал(а):

Цитата (wplounge @ 13.02.2012 - 21:02)

Цитата

тогда еще один вопрос - а команду "header" обойти можно?

Вопрос не понятен. Ты бы хоть пример привел, где обойти, зачем обойти?

Ну к примеру на странице admin.php я делаю проверку на права пользователя, если прав маловато - вызываю функцию "header('Location: ...');", и при администраторских действиях более права пользователя не проверяю. Разумеется, это лишь пример.
Так вот у меня вопрос - может ли злоумышленник как-то обойти эту функцию и остаться на администраторской странице даже с недостаточными правами?

Спустя 1 минута, 42 секунды (14.02.2012 - 00:23) Invis1ble написал(а):

обойти-то можно, но если ты после header() поставишь exit - о этот обход ничего ему не даст

Спустя 5 минут, 18 секунд (14.02.2012 - 00:29) creator_52 написал(а):

Цитата (Invis1ble @ 13.02.2012 - 21:23)

обойти-то можно, но если ты после header() поставишь exit - о этот обход ничего ему не даст

Точняк, как я сам то не додумался. Спасибо, в следующий раз умнее буду.

Быстрый ответ:

Здесь расположена полная версия этой страницы.