mic ajutor la un formular

#19
OriginalCopy

Posted 09 March 2009 - 19:52

I'm harmful, fear me please! :))

Grup: Senior Members
Posts: 27,268
Înscris: 10.08.2006

Sesiunea e una, securitatea e alta. Vezi "sfaturi de programare".

Back to top

#20
stefy

Posted 09 March 2009 - 19:54

Member

Grup: Members
Posts: 489
Înscris: 18.04.2006

OriginalCopy, on Mar 9 2009, 19:43, said:

Are gauri de securitate

evident.Mai bine zis n-are securitate deloc.Nu a cerut in post asa ca am banuit ca doar vrea sa vada cum s-ar face.

Gaura de securitate e ca e introdus cod brut peste tot.Ca sa fie sigur trebuia codul POST pus intr-o variabila si sa-i dau un strip_tags si un htmlspecialchars si dupa aceea sa fie comparata si invartita variabila.
Stai cateva minute tornad0 ca-l rezolv.

cineva cu intentii rele, poate sa faca praf tot, sa stearga fisiere de pe server, sa le modifice, sa includa un shell, practic cam orice se poate face cu php

Deci scriptul ar fi asta:

<?php
if (isset($_POST['submit'])){
$nume = htmlspecialchars(strip_tags(trim($_POST['nume'])));
$adresa = htmlspecialchars(strip_tags(trim($_POST['adresa'])));
$varsta = htmlspecialchars(strip_tags(trim($_POST['varsta'])));
if ($nume != '' && $adresa != '' && $varsta != ''){
header ('Location: pagina.html');
$util = fopen ('utilizatori.html' , 'a');
fwrite ($util ,
'<br />nume:  ' .$nume.
'<br />adresa:  ' .$adresa.
'<br />varsta:  ' .$varsta.
'<br />'
);

fclose ($util);

}else{
echo '<form method="post">';
if ($nume === ''){
echo 'Nume :<input type="text" name="nume">Nu ati introdus numele! <br />';
}else{ echo 'Nume :<input type="text" name="nume" value="'.$nume.'"><br />';}

if ($adresa === ''){
echo 'Adresa :<input type="text" name="adresa">Nu ati introdus adresa! <br />';
}else{ echo 'Adresa :<input type="text" name="adresa" value="'.$adresa.'"><br />';}

if ($varsta === ''){
echo 'Varsta :<input type="text" name="varsta">Nu ati introdus varsta! <br />';
}else{ echo 'Varsta :<input type="text" name="varsta" value="'.$varsta.'"><br />';}
echo '<input type="submit" value="Trimite" name="submit">
</form>';


}
}else{
echo '
<form method="post">
Nume :<input type="text" name="nume"><br />
Adresa :<input type="text" name="adresa"><br />
Varsta :<input type="text" name="varsta"><br />
<input type="submit" value="Trimite" name="submit">
</form>';
}
?>

nu am cunostinte prea bune cu securitatea, va rog confirmati-mi daca acum e ok.

Edited by stefy, 09 March 2009 - 20:02.

Back to top

#21
adormitu

Posted 09 March 2009 - 19:59

Member

Grup: Members
Posts: 384
Înscris: 28.08.2008

tornad0, on Mar 9 2009, 19:40, said:

fi mai explicit adormitule.... insinuezi ca tot ce a facut stefy pt mine e pt firma pe care nu o am?

nu insinuam ca stefi merita sa ii platesti macar o bere pentru treaba facuta, deoarece de la ajutor/indrumare a face codul in locul tau e un mare pas... iar daca astfel de cod ar ajunge in productii ar fi grav... asta in legatura cu http://forum.softped...howtopic=510258

stefy, on Mar 9 2009, 19:54, said:

cineva cu intentii rele, poate sa:

foloseasca XSS

l.e. al naibii limba romana

Edited by adormitu, 09 March 2009 - 20:00.

Back to top

Anunturi

Second Opinion

Folosind serviciul second opinion ne puteți trimite RMN-uri, CT -uri, angiografii, fișiere .pdf, documente medicale.

Astfel vă vom putea da o opinie neurochirurgicală, fără ca aceasta să poată înlocui un consult de specialitate. Răspunsurile vor fi date prin e-mail în cel mai scurt timp posibil (de obicei în mai putin de 24 de ore, dar nu mai mult de 48 de ore). Second opinion – Neurohope este un serviciu gratuit.

www.neurohope.ro

#19 OriginalCopy Posted 09 March 2009 - 19:52

#20 stefy Posted 09 March 2009 - 19:54

#21 adormitu Posted 09 March 2009 - 19:59

Anunturi

▶ 1 user(s) are reading this topic

Sign In

#19
OriginalCopy

Posted 09 March 2009 - 19:52

#20
stefy

Posted 09 March 2009 - 19:54

#21
adormitu

Posted 09 March 2009 - 19:59