Sicurezza e PHP

**marcoK** · 20-04-2010, 14:58

@ freeman74:

nulla, semplicemente il fatto che lo script di redirect, dopo aver controllato i $_GET e aver applicato lo switch funziona e se assegno un valore qualsiasi a pageload che non sia di quelli previsti lo script reindirizza correttamente.

@ alcio74:
Grazie mille dei consigli utilissimi, provvederò a studiarmi switch... e già che ci siamo... ma quali sarebbero le alternative per passare delle variabili di pagina in pagina se non con $_REQUEST?
Scusa l'ignoranza ma sono rimasto ad un livello PHP medio/basso e mi perdo spesso e volentieri nel codice...

Marco

**freeman74** · 20-04-2010, 15:25

marcok ma io non mettevo in dubbio il redirect! lo mettevo in dubbio con una echo subito prima....

**freeman74** · 20-04-2010, 15:26

mi "intrometto" nella domanda per alcio74...le variabili le recuperi con $_GET o $_POST, oppure cookie, sessioni....dipende da cosa e come vuoi inviare...

**marcoK** · 20-04-2010, 15:37

Ok, ho capito che mi devo ripassare anche $_REQUEST, $_POST, $_GET ... era da parecchio che non mi rimettevo a scrivere PHP ed i risultati si vedono...
Grazie comunque per tutti i validissimi consigli!!
Marco

**alcio74** · 20-04-2010, 23:49

Come diceva Freeman, se una variabile la passi via url, allora la recupererai con $_GET.
Se la passi con una form, la recuperi da $_POST, dal cookie con $_COOKIE, e così via per sessioni, server eccetera.

Ti spiego meglio.

$_REQUEST è come se fosse un mega array superglobale che ingloba tutti gli array sopracitati.
Poni il caso che nel tuo script recuperi con $_POST una variabile passata via form (e quindi visibile ad un hacker che apre il codice della tua pagina e prova a vedere i nomi delle variabili).
Poni anche il caso che lo stesso hacker voglia tentare di vedere se usi $_REQUEST.
Cosa farebbe?
Prende il nome di una delle variabili che passi in POST.
Riscrive a mano la url con il nome di quella variabile (quindi in GET) ed un valore da lui impostato e tenta l'avventura.
Magari con $_REQUEST, capita che le variabili passate via GET siano sovrascritte a quelle passate via POST.
Per cui l'hacker scopre con poca fatica che il tuo sito ha una falla.... di sicuro proverà a vedere se ne hai altre!

Per quello che riguarda l'ignoranza ti posso garantire che non devi scusartene: il forum è utilissimo proprio per togliersi i dubbi!
Ti garantisco che tanto, più andrai avanti, più troverai qualcuno che ne sa più di te.... quindi: coraggio e sii pronto ad imparare!

**marcoK** · 21-04-2010, 00:12

Grazie alcio, sei stato molto chiaro... sto provvedendo infatti a verificare e modificare tutti i vari passaggi di variabili del sito (che avevo fatto ovviamente quasi tutte con $_REQUEST).

oggi intanto mi sono prodigato sui vecchi manuali che ho spolverato dallo scaffale... e ho iniziato a dare una bella ripassata.

Alla prossima!

Marco

**alcio74** · 21-04-2010, 00:33

La sua soddisfazione è il nostro miglior premio!

**freeman74** · 21-04-2010, 09:38

ahahahaha mitico!!!!

Discussione: Sicurezza e PHP

Strumenti discussione

Ricerca discussione

Visualizza

Permessi di invio