CIao.
ho alcuni dubbi ke vorrei porvi.
Se sul mio sito c'è un link del genere...
http://www.sito.com/avatar/index.php?id=10
si tratta della scheda degli utenti.quindi questa pagina esegue una query nella tabella utenti dove tral'altro è visibile un'informazione..e cioè il campo ID.
Da qui quante possibilità ci sono che cattivelli possano attaccare questo link-get e cn quali mezzi?cioè ci sono alcuni caratteri ke dovrei evitare qui?
thx
http://codecanyon.net/category/all?ref=Manuelandro
And I bet she told a million people that she'd stay in touch, Well all the little promises they dont mean much,When theres
memories to be made
Ciao.
La prima cosa che mi viene in mente
passare un qualsiasi numero e lo script
mi farà vedere informazioni di un altro
utente.
però se non dici di + su come è strutturato
lo script ............. è un po dura capire quali
precauzioni usare.
Without faith, nothing is possible. With it, nothing is impossible
http://ilwebdifabio.it
praticamente è la pagina di visualizzazione scheda utente. ognuno lo può fare quindi quello non è un problema(del cambiare l'id).
più altro il mio primo timore è ke possano stampare altri campi ke nella pagina non ci sono, come quello Password.
http://codecanyon.net/category/all?ref=Manuelandro
And I bet she told a million people that she'd stay in touch, Well all the little promises they dont mean much,When theres
memories to be made
io personalmente, anche se è contro ogni regola di buona organizzazione di un db, le password le tengo in una tabella diversa da quella degli utenti... Per quanto riguarda il passaggio di variabili numeriche, il modo migliore per ovviare alle inj. (a mio avviso) è quello del casting:
$id = (int) $_GET['id'];
così anche se ci sono parti testuali vengono scartate.
Cosa può capitare? alla peggio viene ritornato un errore, dipende dal tuo script. E comunque se lo script è fatto bene allora l'errore sarà dovuto!
Questa e' la mia firma! Lo so, e' una mezza schifezza.
Un sito
- skype non è per consulenze online -
Penso sarebbe meglio intercettare errori di questo tipocosì anche se ci sono parti testuali vengono scartate.
Cosa può capitare? alla peggio viene ritornato un errore, dipende dal tuo script. E comunque se lo script è fatto bene allora l'errore sarà dovuto!
con un semplice in_array puoi evitare la visualizzazione
di brutti errori dando alla applicazione un + alto livello
di professionalità.
Without faith, nothing is possible. With it, nothing is impossible
http://ilwebdifabio.it
si beh quello poi è a discrezione, certo che una applicazione con un front-end per l'utente più accattivante e più intuitivo è moooolto più apprezzata di un semplice "errore. processo terminato."
Però quello è secondario alla sicurezzaalmeno nel mio modo di vedere ^_^
Questa e' la mia firma! Lo so, e' una mezza schifezza.
Un sito
- skype non è per consulenze online -
Permessi di invio
Rispondi quotando