Utility
Home Messaggi odierni FAQ Ricerca avanzata Lo staff del forum Regolamento Utenti Archivio
Visualizzazione dei risultati da 1 a 4 su 4
  1. 09-11-2007, 17:07 #1
    starcraftworld
    starcraftworld non è in linea
    Utente di HTML.it
    Registrato dal
    Dec 2006
    Messaggi
    1,586

    Vulnerabilità script AJAX

    Ho creato questo script in AJAX per aggiornare il contenuto di un div senza dover aggiornare tutta la pagina:

    script.js
    Codice PHP:
    function update (objectcontainer) {
        if (    object.length>0) {
            var     url="./script/update.php?page="+object;
                XMLHTTP=switchBrowser(function () { setContent(container) });
                XMLHTTP.open("GET",url,true);
                XMLHTTP.send(null);
        }
        else {
                document.getElementById(container).innerHTML "";
        }
    }

    function     setContent (container) {
        if (    XMLHTTP.readyState==4) {
            var     element=document.getElementById(container);
                element.innerHTML=XMLHTTP.responseText;
        }
    }

    function     switchBrowser (browser) {
        if (    navigator.userAgent.indexOf("MSIE")!=(-1)) {
            var     cat="Msxml2.XMLHTTP";
            if (    navigator.appVersion.indexOf("MSIE 5.5")!=(-1)) {
                    cat="Microsoft.XMLHTTP";
            }
            try {
                    objectXMLHTTP=new ActiveXObject(cat);
                    objectXMLHTTP.onreadystatechange=browser;
                return     objectXMLHTTP;
            }
            catch(    e) {
                    alert("Errore");
            }
        }
        else {
                objectXMLHTTP=new XMLHttpRequest();
                objectXMLHTTP.onload=browser;
                objectXMLHTTP.onerror=browser;
            return     objectXMLHTTP;
        }

    update.php
    Codice PHP:
    <?php
        $page    =$_GET['page'];
        include(    "../".$page);
    ?>
    In questo modo è possibile, da parte dell'utente, inserire come parametro object un file riservato. Come posso impedire all'utente di passare i valori che vuole alla funzione?
    Rispondi quotando Rispondi quotando
  2. 09-11-2007, 17:49 #2
    H5N1_Aviaria
    H5N1_Aviaria non è in linea
    Utente bannato
    Registrato dal
    Feb 2007
    Messaggi
    1,344
    Innanzutotto includi un controllo di tipo file_exists() per non generare errori.
    In secondo luogo l'oggetto XMLHTTPRequest invocato dalla funzione ha gli stessi privilegi dell'utente per cui se alcune pagine sono inaccessibili lo saranno anche all'oggetto. Detto questo non resta altro che rendere le pagine a cui non vuoi dare accesso private.
    In aggiunta a ciò puoi anche controllare che $page non contenga determinati valori (ad es. "private/").
    Rispondi quotando Rispondi quotando
  3. 09-11-2007, 18:30 #3
    starcraftworld
    starcraftworld non è in linea
    Utente di HTML.it
    Registrato dal
    Dec 2006
    Messaggi
    1,586
    come faccio a rendere una pagina riservata?
    Rispondi quotando Rispondi quotando
  4. 09-11-2007, 19:08 #4
    H5N1_Aviaria
    H5N1_Aviaria non è in linea
    Utente bannato
    Registrato dal
    Feb 2007
    Messaggi
    1,344
    Se il server è tuo devi configurare Apache altrimenti se sei in hosting rivolgiti al tuo fornitore di servizi per informazioni su come agire.
    Rispondi quotando Rispondi quotando
« Discussione precedente | Prossima discussione »

Permessi di invio

  • Non puoi inserire discussioni
  • Non puoi inserire repliche
  • Non puoi inserire allegati
  • Non puoi modificare i tuoi messaggi
  •  

Regole del Forum

Powered by vBulletin® Version 4.2.1
Copyright © 2025 vBulletin Solutions, Inc. All rights reserved.