Suggerimenti , PHP
- 2009/06/04
Attenzione ai parametri URL passati da
(2 voti, media: 5,00 su 5) 
Caricamento in corso ... Tutte le persone buone?
Oggi scriverò qualcosa di molto semplice ma fa molta differenza su un (web): parametri passati dal URL.
Recentemente ho ricevuto il pieno accesso per sette giorni in un luogo di insegnamento in inglese (io preferisco non parlare di quello che il sito). Grazie all'accesso completo, gli utenti possono scaricare i 'podcast' classi ... che sono i file MP3 che si presentano in situazioni quotidiane (in inglese), ma tutti molto ben spiegato dal docente.
Ma il download ha un limite: 14 download al mese.
Faccio un download, e con mia sorpresa, il mio database ID viene passato attraverso l'URL GET. Poi ho pensato: io testare la sicurezza del sito!
Indovinate cosa è successo?
Sì! se avete risposto che la convalida per vedere se i file già scaricati 14 è fatta da questo parametro si è inchiodato!
Quindi ricordatevi sempre: MAI Passare i parametri chiave per l'URL.
NOTA: la modifica il mio ID in una URL, ho potuto scaricare ALL FILES sito (mp3, pdf class ...). Beh, ho pensato, di solito, il primo utente del database è il proprietario del sito o l'utente amministratore.
Spero che questo aiuti!
4 Responses to "Guardatevi dai parametri passati da URL"
Marcelo, punta eccellente, hai fatto questo lavoro q dovrebbe essere di base per chi sviluppa siti web, non è un buon design e requisiti di usabilità grandi sono minos di sicurezza non sono controllati ... c'è una cosa cool, un revisore dei conti di sicurezza, si dovrebbe guadagnare un buck rapido eh?
abs!
Per Vinicius (1 commenti) su 2009/03/05
Ideale buon consiglio e non passare attraverso la validazione del metodo get, e fare sempre quando lo script prende una stringa per posta o ottenere ^ _ ^ VLW
Con Alexandre Broggio (4 commenti) su 2009/11/05
Mi è stato chiesto di non passare l'ID utente per l'URL nell'esempio ho dato del sito.
In questo caso, poiché l'utente deve essere loggato nel sito, probabilmente il sito deve avere i dati dell'utente nella sessione (perché mostra il nome della persona effettuato il login) ... con l'ID della sessione, si può tranquillamente contare i download.
Con Marcelo Sabadini (109 commenti) in 2009/05/06
esattamente come tu dici nel tuo commento che ritengo giusto marcelo per lo sviluppatore di questo sito sarebbe quello di verificare l'ID della sessione con l'id passato da url.
messaggio più eccellente, in quanto questo e un errore fino a quando anche i programmatori che si definiscono "esperti".
poi come dico sempre, buon insegnante, e più a voi per dedicare e acquisire la conoscenza è niente a nessuno perché nessuno masticato.
perché abbiamo davvero fino a quando gli studenti universitari commettere questo errore.
WLW mostrano il post.
Con Joshua (4 commenti) su 27/08/2011