Session probléma (PHP)

Pirity Tamás Gábor ptg at apaczai.elte.hu
2009. Ápr. 16., Cs, 11:15:14 CEST


Ha jól hiszem, Kubanka Peter írta az alábbiakat:
> >> A $_REQUEST tömb használatát pedig KIFEJEZETTEN nem tanácsolom,
> >
> > Ez viszont nagyon furcsa nekem, az összes általam olvasott doksiban
> > kifejezetten ezt ajánlják.
> 
> Ha a $_REQUEST-et használod, akkor mindegy, hogy az adatot POST vagy
> GET módban küldik a formodnak. Tételezzük fel, hogy egy felhasználó
> bejelentkezett mondjuk egy webshopba, ami $_REQUEST-et használ. A
> formban van egy select, aminek a neve items, és a kiválasztott áru
> id-jét adja vissza.
> Ebben az esetben a formodnak ellehet küldeni az adatot POST-al, és úgy
> is hogy www.valami.hu/webshopform?items=22, és már megis vette az
> illető azt a tárgyat. Itt van benne a biztonsági rés, ugyanis ha a
> felhasználó bejelentkezett az oldaladra és közben egy másik weblapot
> böngész (vagy a te honlapodon megjelenik egy reklám, vagy fórumban egy
> kép), ahol egy sima <img src="www.valami.hu/webshopform?items=22">
> bevan illesztve, agyanazt éri el, mintha elküldte volna a felhasználó
> a formot, és mind emellé az ő hitelesítési adataival együtt. Remélem
> érthető :) a lényeg, hogy request esetén, egy másik oldalról, vagy a
> saját oldaladról egy preparált img linkel, olyan dolgokat csinálhatnak
> a hitelesített felhasználód nevében, amit ő nem akart.

Nem hiszem, hogy a GET-et ne lehetne (esetleg icipicit macerásabban)
hamisítani.

> Ezért kifejezetten ellenjavalt a használata, és az olyan írásokat ahol
> kiemelik hogy requestet használj, törölni kéne mindörökre...

Azért erről adhatnál valami url-t.

> És ha már a biztonságnál tartunk, mysqli fügvényeket használj mysql
> kapcsolathoz, biztonságosabb (ha valaki kéri elmagyarázom hogy miért)
> mint bármi más, és mivel objektum orientáltan is lehet használni,
> kényelmes és erőteljes eszköz lehet. Egy weboldalt amúgy is érdemes
> objektum orientáltan készíteni, később könyebb változtatni, ha jól van
> megírva.
> 
> linkek hozzá:
> http://hu2.php.net/mysqli
> 
> itt van jó példa is hozzá
> http://hu2.php.net/manual/en/mysqli.prepare.php

Köszi, ha lesz időm, megnézem.

-- 
PTG
Mother Earth is not flat!
Debian 4.0 -- Linux 2.6.22.6


További információk a(z) Techinfo levelezőlistáról