אבטחת משתנה סרבר
$_SERVER['SERVER_NAME']
$_SERVER['REQUEST_URI']
- הם מחזירים את כתובת האתר -.
???
כי יש כאלה משתנים שהגולש יכול לשנות אותם, ואז הם צריכים אבטחה. אבל את זה גם אפשר לשנות?
10 תשובות
ענה
REQUEST_URI חשוף להזרקה.
SERVER_NAME ככל הידוע לי לא.
בכל מקרה אין סיבה להבריח תווים לכל משתנה בנפרד, תעבוד עם prepare..
ענה
למיטב ידיעתי, הרבה ממשתני SERVER חשופים להזרקה. תתייחס אליהם כמו אל GET ו-POST...
ענה
יש סיבה שאתה בכלל חושב על זה ולא בצורה אוטומטית מבריח כל דבר שאתה מכניס למסד ?
ענה
ואם אני לא מכניס למסד או מדפיס למסך, אלא רק משתמש איתו בקוד.
לדוגמא: אני עושה לגולש
אז גם צריך לאבטח?
לאבטח ממה ?
שליחת הדבר הזה ב header יכולה לגרום ל xss או ל sql incjetion ?
--
למען האמת זה יכול אולי לגרום ל XSS מקומי אצל המשתמש הנוכחי
כמו שאמרת אלכס, שזה יגרום לXSS מקומי ומזה אני מפחד שהוא יכניס איזה קוד זדוני כמו שאילתה ..
זה אפשרי בכלל?
OrelBeY: אני מעדיף קוד כמה שיותר קצר,ולא לדחוף פונקציות אבטחה במקומות שבכלל לא צריך
כל מה שהוא יכול לעשות שם זה להעביר את עצמו למקום אחר, אולי להוסיף GET, אבל זה לא אמור להזיק לך (לפי מה שאני יודע).
אתה מעדיף שיהיו לך פרצות אבטחה? :)
ענה
ניסתי לעשות הזרקה דרך הurl. במצב register_globals = On.
וזה לא השפיע.