Autorius Tema: Ar saugus toks script? :) (Skaityta 2003 kartus)

Modestas Vaitkevičius · « **Įrašytas:** 2011-11-21 16:46:56 pm »

Sveiki
Darau admin pultą su jQuery ir per jį siunčiu duomenis į writes.php failą, o tas failas juos nuskaito ir padaro mysql užklausą. Viskas vyksta taip:
jQuery siunčia duomenis POST metodu, o šis failas tokiomis eilutėmis juos atvaizduoja:

Kodas: [Pasirinkti]

<?php
// Start forms
conn();
$new_poster = mysql_real_escape_string(strip_tags($_POST['new_poster']));
$new_name = mysql_real_escape_string(strip_tags($_POST['new_name']));
$new_data = mysql_real_escape_string(strip_tags($_POST['new_data']));
$new_short = mysql_real_escape_string(strip_tags($_POST['new_short']));
$new_full = mysql_real_escape_string(strip_tags($_POST['new_full']));
$new_cat = mysql_real_escape_string(strip_tags($_POST['new_cat']));
$new_active = mysql_real_escape_string(strip_tags($_POST['new_active']));
$new_id = uniqid(mt_rand() . mt_rand(), true);
mysql_query("INSERT INTO `sc_news`(`id`, `data`, `name`, `poster`, `category`, `short`, `full`, `active`) 
    VALUES ('".$new_id."','".$new_data."','".$new_name."','".$new_poster."','".$new_cat."','".$new_short."','".$new_full."','".$new_active."')");
mysql_close();
?>

Ar šis kodas apsaugotas nuo išorinių injekcijų ( Padirbtų formų ir t.t.?

) Klausiu, nes mažai žinau, o ir pirmą kart taip darau

ps. Jei kas turit geresnę įdėją, praneškit

Lukas Liesis · « **Atsakymas #1 Įrašytas:** 2011-11-21 19:50:34 pm »

manau pilnai uztenka tik mysql_real_escape_string

pasiziurek tikslesnius aprasymus tos funkcijos

Modestas Vaitkevičius · « **Atsakymas #2 Įrašytas:** 2011-11-21 22:13:37 pm »

Bet ar pvz nėra įmanoma tarkime iš kokio kito puslapio siūsti užklausą?

Man tik tiek reikia žinoti, nes kaip matai, čia viskas veikia be jokių apsaugų

vitalikaz · « **Atsakymas #3 Įrašytas:** 2011-11-22 01:19:53 am »

Tai klausimas tame, nuo ko tu nori apsisaugoti. Jeigu nuo to, kad nesiustu uzklausu is isores (ar bent jau tai pasunkinti) - gali naudoti kanors panasaus i CAPTCHA, tikrinti refereri, zaisti su sesijomis ir pan.

Manualai.lt Forumas · « **Atsakymas #3 Įrašytas:** 2011-11-22 01:19:53 am »

Modestas Vaitkevičius · « **Atsakymas #4 Įrašytas:** 2011-11-22 12:53:16 pm »

Nepagavai, žmogus to failo neatidaro, o atidaro tik sistema, ir galvoju ar taip yra saugiai padaryti ar ne, nes jokio tikrinimo nepavyks padaryti, kadangi viskas vyks per jQuery form'u plugin'ą

Lukas Liesis · « **Atsakymas #5 Įrašytas:** 2011-11-22 16:53:32 pm »

Citata iš: Modestas Vaitkevičius 2011-11-22 12:53:16 pm

Nepagavai, žmogus to failo neatidaro, o atidaro tik sistema, ir galvoju ar taip yra saugiai padaryti ar ne, nes jokio tikrinimo nepavyks padaryti, kadangi viskas vyks per jQuery form'u plugin'ą

sesija turi matytis ir per ajaxa pasikreiptam faile

Modestas Vaitkevičius · « **Atsakymas #6 Įrašytas:** 2011-11-22 16:59:57 pm »

Ta prasme?

Lukas Liesis · « **Atsakymas #7 Įrašytas:** 2011-11-22 20:54:55 pm »

Citata iš: Modestas Vaitkevičius 2011-11-22 16:59:57 pm

Ta prasme?

uzkrauni tarkim index.php jo viduje yra js kuris per ajaxa kreipiasi i salia index.php gulinti faila tarkim ajax.php ir ajax.php viduje tu gali pilnai naudoti sesijos kintamuosius

Modestas Vaitkevičius · « **Atsakymas #8 Įrašytas:** 2011-11-22 21:27:02 pm »

Nu tai su jais ir naudoju, tačiau duomenys tik ateina post metodu ir tiek

O klausimas ar čia negalima padirbti tų formų ?

vitalikaz · « **Atsakymas #9 Įrašytas:** 2011-11-23 17:07:14 pm »

Citata iš: Modestas Vaitkevičius 2011-11-22 21:27:02 pm

Nu tai su jais ir naudoju, tačiau duomenys tik ateina post metodu ir tiek O klausimas ar čia negalima padirbti tų formų ?

Pagavau. Būtent į šitą klausimą ir atsakiau tau. Nėra jokio skirtumo kaip tu siunti - per AJAX, ar submitini formą.

Manualai.lt Forumas · « **Atsakymas #9 Įrašytas:** 2011-11-23 17:07:14 pm »

Manualai.lt Forumas

Naujienos: