$odin = $_GET['test'];
if($odin == $dva)
_____________
Принимаю заказы, писать в ЛС
$odin = $_GET['test'];
if($odin == $dva)
Цитата (GET @ 22.03.2015 - 18:37) |
Медведь Не совсем понятно, что ты написал. |
if($_GET['polsovatel'] == $moya_peremennaya) // тут можно мееня ломануть?
Цитата |
Да вроде не пьяный ещё) буквы вроде ровно печатаю)) В общем принимаю значение от пользователя через гет и сравниваю со своим значением. if($_GET['polsovatel'] == $moya_peremennaya) // тут можно мееня ломануть? |
Цитата |
А Медведь сейчас находится в стадии, через которую все мы прошли: "О боже, мой новый сайт захотят взломать 100500 суперагентов всех спецслужб мира". Пройдет время и он успокоится |
include $_GET['filename']; // это уязвимость
if( in_array($_GET['filename'], $my_files_array) )
{
include $_GET['filename'];
}
// это не уязвимость
if($_GET['polsovatel'] == $moya_peremennaya)
if("1==1 and" == $moya_peremennaya){}
var_dump($_GET['polsovatel']);
var_dump($moya_peremennaya);
$cond = $_GET['polsovatel'] == $moya_peremennaya;
var_dump($cond);
Цитата |
Отправив 1==1 and и где надо поставит кавычки. |
Цитата |
if($_GET['polsovatel'] == $moya_peremennaya) |
Цитата |
Значит можно ничего не фильтровать |
Цитата (AllesKlar @ 22.03.2015 - 19:05) |
Не хочется занудствовать, но ты учился или просто для себя программированием решил заняться? Если учился, то где ты был, когда изучали хранение переменных в памяти? Если не учился, то посмотри в сторону этого. Что такое на физическом уровне переменная. Как она хранится в памяти. Как хранятся массивы. Как хранятся объекты. Что на физическом уровне означает переча переменной по значению и передача переменной по ссылке. Поняв это, у тебя не будет возникать подобных вопросов. Если ты этого не поймешь, то не стоит программировать. |