Visualizzazione dei risultati da 1 a 5 su 5

Discussione: Codice malevolo

  1. #1
    Utente di HTML.it
    Registrato dal
    Jul 2001
    Messaggi
    66

    Codice malevolo

    Da circa un mese un rompiscatole accede al mio sito con questo tipo di url
    pagina.php%3Fid=889+inurl:/pagina.php%3Fi=+enjoyment&ct=clnk

    avendo attivato una opzione fornita dal provider che mi invia una mail per le pagine inesistenti a cui si è tentato di accedere a me arriva una mail che appunto segnala questo url ed in più l'ip di provenienza
    ho allora creato una tabella degli ip da bloccare che una funzione consulta ad ogni apertura di pagina se l'ip è uno di quelli inseriti reindirizzo ad una pagina che dice "sito in aggiornamento"

    ma generando questo url un errore non viene bloccato da quella funzione e mi arriva l'errore
    basterebbe che al posto di
    %3F ci fosse ? e l'errore non si verificherebbe
    pagina.php?id=889+inurl:/pagina.php%3Fi=+enjoyment&ct=clnk
    perché lo script pagina.php prende il parametro id lo trasforma in intero e visualizza la scheda se la trova

    quale accorgimento mi suggerite ?
    che tipo di tentativo è ?

    grazie

  2. #2
    Utente di HTML.it
    Registrato dal
    Jul 2001
    Messaggi
    66
    Non l'ho scritto ma è ovvio che l'url corretto è pagina.php?id=889

  3. #3
    Utente di HTML.it L'avatar di DjBart
    Registrato dal
    Jan 2009
    Messaggi
    346
    sarà un sql injection , hai fatto i controlli sul $_POST_?

  4. #4
    Utente di HTML.it
    Registrato dal
    Jul 2001
    Messaggi
    66
    l'istruzione con cui acquisisco il valore id è
    $id = intval($_GET['id'])
    in questo modo, credo, trasformo in intero quello che lo script associa alla variabile id
    e quindi se è un numero corrispondente ad un record della tabella ne visualizza il contenuto altrimenti visualizzo un messaggio "registrazione inesistente"

    piuttosto ho trovato questa pagina
    http://geniv.forumcommunity.net/?t=54542306
    dove si dice che "Inurl: è un comando di google"
    e quindi ancor di più non capisco cosa questo cerca di fare

  5. #5
    Devi fare un controllo sull'id usando is_int
    codice:
    if(!is_int($_GET['id'])) {
          // CODICE DI BLOCCO CON MEMORIZZAZIONE DELL'IP
    }
    eCommerceRS.NET - Commerciante, vendi on-line!
    Il mio nick è mircov e non mirco!!!

Permessi di invio

  • Non puoi inserire discussioni
  • Non puoi inserire repliche
  • Non puoi inserire allegati
  • Non puoi modificare i tuoi messaggi
  •  
Powered by vBulletin® Version 4.2.1
Copyright © 2020 vBulletin Solutions, Inc. All rights reserved.