Nawigacja

Aktualnie online

Gości online: 20

Użytkowników online: 0

Łącznie użytkowników: 25,405
Najnowszy użytkownik: kipolas

Logowanie

Zarejestruj się

Odzyskaj hasło

Shoutbox

Musisz zalogować się, aby móc dodać wiadomość.

JazOOn

25.06.2025 23:43:19

Dziadziejemy jantom...

jantom

23.06.2025 21:37:31

Z ciekawo?ci pogrzeba?em w historii i jest gorzej ni? my?la?em. Skórka Nadzieja ma ju? 17 lat.

jantom

23.06.2025 21:33:12

... troch? zasiedzia?o

jantom

23.06.2025 21:32:38

Cecha tego, jak z 20+ lat temu pisano strony - tabelki wsz?dzie, szczególnie do tworzenia uk?adów stron. PF d?ugo by? wierny tej tradycji. A obecny szablon Supportu napisa?em z 15 lat temu i chyba mu

Zbigniew@

22.06.2025 17:50:03

Dlaczego forum jest dost?pne tylko dla 10% ludzi? Poniewa? wi?kszo?? osób korzysta z internetu na urz?dzeniach mobilnych.

Archiwum shoutboksa

O nie! Ta strona potrzebuje włączonej obsługi języka JavaScript!

Twoja przeglądarka nie obsługuje tego języka lub ma wyłączoną jego obsługę. Włącz wykonywanie kodu JavaScript w swojej przeglądarce internetowej, aby skorzystać ze wszystkich funkcji strony
lub skorzystaj z programu obsługującego język JavaScript, np. Mozilla Firefox, Apple Safari, Opera, Google Chrome lub Windows Internet Explorer w wersji wyższej niż 6.

Wykaz postów użytkownika - phm - które otrzymały punkt za pomoc


phm	Dodawanie filmów przez submit.php za pomoc? kodu osad? wideo a bezpiecze?stwo
	Przyznam, ?e nie do ko?ca rozumiem ide? Twojego kodu. U?ytkownik wprowadza link do formularza, Ty go pobierasz i "obrabiasz" w tagi object, itd, odpowiedzialne za prawid?owe wy?wietlenie filmu? Pytasz, czy to bezpieczne. W Twoim skrypcie nie widz? niczego, co sprawdza?oby poprawno?? wprowadzonych danych. Stosujesz stripshlashes(), które odpowiada jedynie za zabaw? slashami (znaczkami typu / ) i które stosuje si?, gdy flaga magic_quotes_gpc jest ustawiona (on). Otrzymane linki przechowujesz najprawdopodobniej w bazie danych (zgaduj?, bo z kodu to te? nie wynika). Do zabaw z wysy?anymi do bazy danych ci?gów znaków, polecam mysql_real_escape_string (w manualu przeczytasz sobie zalety tej funkcji). Chodzi o to ?e np. gdy kto? zamiast kodu filmu wpisze </td></td></td></td> to rozjedzie mi si? ca?a strona i tp. Tutaj sam odpowiedzia?e? sobie na pytanie odno?nie bezpiecze?stwa. Nie filtrujesz danych ca?kowicie poprawnie. Twój skrypt podatny jest na XSS oraz HTML Injection (i w zale?no?ci od konfiguracji serwera mo?na podpi?? jeszcze SSI Inj. ). Ju? t?umacz? jak to dzia?a. Kto?, zamiast linku filmu przesy?a Ci z?o?liwy kod JavaScript, b?d? nawet prost? ramk? prowadz?c? do zawirusowanej strony. Ty, niczego nie?wiadomy sprawdzasz nades?ane linki. Przegl?darka trafia na z?o?liwy kod i wykonuje go (taka ju? jej robota). Jak zaradzi? Twojemu problemowi? S? dwa rozwiazania (i najlepiej zastosowa? oba): 1. pobawi? si? funkcjami takimi jak htmlspecialchars(), czy strip_tags() go usuni?cia wszystkich tagów HTML z wprowadzanego ciagu 2. zaraz po otrzymaniu ci?gu znaków, maj?cego by? linkiem do filmu, sprawdzi? za pomoc? wyra?e? regularnych, czy string jest rzeczywi?cie linkiem (budow? linka ka?dy zna)


phm	Dodawanie filmów przez submit.php za pomoc? kodu osad? wideo a bezpiecze?stwo
	Powiem w skrócie tak: Cokolwiek wysy?asz do bazy danych - musi by? sprawdzone pod wzgl?dem mo?liwo?ci wstrzykni?cia kodu SQL (SQL Injection). Cokolwiek wy?wietlasz na stronie w postaci kodu, musi by? sprawdzone pod wzgl?dem tagów (XSS i HTML Injection).

Twój link u nas!

Nawigacja

G?ówne menu

Komunikacja

Elementarz

Dokumentacja

Aktualnie online

Logowanie

Shoutbox

Wykaz postów użytkownika - phm - które otrzymały punkt za pomoc