Hlavní navigace

Názor k článku PHP pro experty: bezpečnost od Roman - Tema clanku se mi libi a je dobre,...

  • Článek je starý, nové názory již nelze přidávat.
  • 12. 8. 2004 11:50

    Roman (neregistrovaný)

    Tema clanku se mi libi a je dobre, ze se nekdo rozhodl venovat tomuto tematu.

    Pokud se autor dopustil nekolika drobnych nepresnosti, urcite to nevadi a hlavni je, ze _jednoduchym_ a srozumitelnym zpusobem ukazuje _princip_ problemu a jejich reseni.

    Poznamky typu "me to pri tehle konfiguraci problem nedela" jsou irelevantni, protoze nekomu pri jine konfiguraci to problem delat bude a tema resime obecne.

    Stejne tak priklady vyjadruji podstatu takoveho utoku a mohli bychom snadno nalezt servery a situace, kde takoveto utoky chodit budou a je treba se branit.

    I kdyz nekomu prijdou urcite veci samozrejme, osveta v oblasti bezpecnosti je stale potreba a kazde vylepseni se pocita.

    -

    Doplnky k prikladum:
    "SELECT $_GET[what] FROM users WHERE uid=$_GET[uid];"

    ktery lze napadnout volanim "skript.php?uid=10;DELETE FROM users"

    pokud neprovede programator prevod uid na cislo (a vyhneme se diskutovanemu problemu uvozovek u retezcove promenne :-).

    Zda promenna (GET/POST) obsahuje cislo, muzeme take testovat funkci is_numeric, chceme-li se vyhnout regularnim vyrazum.

    Jsem zvedavy na dalsi dil :-)