Форум Пользователи Пыхослёт
новые сообщения ответы на мои сообщения избранное скрытые темы случайный топик открыть всё в новых вкладках

ФорумПрограммированиеПыхнуть хотите?Готовые решения → Как правильно забирать данные из GET && POST

Как правильно забирать данные из GET && POST

  • vasa_c

    Сообщения: 3131 Репутация: N Группа: в ухо

    Spritz 21 сентября 2010 г. 3:49, спустя 1 минуту 50 секунд

    Проверку REFERER'а можно прозрачно реализовать в том же Request.
    А внедрение случайный form_key в формы, их проверка, это геморой.

  • phpdude

    Сообщения: 26646 Репутация: N Группа: в ухо

    Spritz 21 сентября 2010 г. 3:50, спустя 57 секунд

    положили премию рунета, вставив скрытый ифрейм на нее

    из танка по баночкам стрелять много мозгов не надо, это дуров положили, под прикрытием "хотели протестировать сколько выдержит"
    Сапожник без сапог

  • vasa_c

    Сообщения: 3131 Репутация: N Группа: в ухо

    Spritz 21 сентября 2010 г. 3:50, спустя 17 секунд

    Да, и ещё многие любят делать логаут на сайтах с помощью ссылки "?logout" или "/logout/".

  • phpdude

    Сообщения: 26646 Репутация: N Группа: в ухо

    Spritz 21 сентября 2010 г. 3:50, спустя 11 секунд

    А внедрение случайный form_key в формы, их проверка, это геморой.

    регулярка, иф + сессия)) 10 минут работы )
    Сапожник без сапог

  • Абырвалг

    Сообщения: 6480 Репутация: N Группа: Джедаи

    Spritz 21 сентября 2010 г. 3:51, спустя 53 секунды

    vasa_c, ага, гг, вставит кто-нить коммент с картинкой на эту ссылку и одмин разлогинится

  • vasa_c

    Сообщения: 3131 Репутация: N Группа: в ухо

    Spritz 21 сентября 2010 г. 3:51, спустя 14 секунд

    Но, несомненно, когда я могу внедрять ссылки и JS на тот самый сайт, куда идёт запрос, то REFERER не поможет.

  • Абырвалг

    Сообщения: 6480 Репутация: N Группа: Джедаи

    Spritz 21 сентября 2010 г. 3:53, спустя 1 минуту 34 секунды

    А внедрение случайный form_key в формы, их проверка, это геморой.

    проверка через EventDispatcher безгеморройно делается. Внедрение - да, посложней. Нужно в каждую форму добавлять

    <input type="hidden" value="<?php echo $this->getFormKey()" …

  • phpdude

    Сообщения: 26646 Репутация: N Группа: в ухо

    Spritz 21 сентября 2010 г. 3:54, спустя 27 секунд

    Внедрение - да, посложней. Нужно в каждую форму добавлять

    <input type="hidden" value="<?php echo $this->getFormKey()" …

    студенты блядь, аж тошно! :D

    все бы вам нативное гавно писать
    Сапожник без сапог

  • Абырвалг

    Сообщения: 6480 Репутация: N Группа: Джедаи

    Spritz 21 сентября 2010 г. 3:56, спустя 2 минуты 18 секунд

    я твигом пользуюсь. А пример из мадженты

  • Givi

    Сообщения: 2284 Репутация: N Группа: Адекваты

    Spritz 21 сентября 2010 г. 3:57, спустя 1 минуту 6 секунд


    vasa_c, ага, гг, вставит кто-нить коммент с картинкой на эту ссылку и одмин разлогинится
    это каким хуем? Просто я чего-то таких хреновин не видел на личном опыте.

  • Абырвалг

    Сообщения: 6480 Репутация: N Группа: Джедаи

    Spritz 21 сентября 2010 г. 4:00, спустя 3 минуты 31 секунду

    ну ты - залогиненый админ. Читаешь коммент, в котором картинка со ссылкой на страницу разлогинивания

  • vasa_c

    Сообщения: 3131 Репутация: N Группа: в ухо

    Spritz 21 сентября 2010 г. 4:05, спустя 4 минуты 8 секунд

    Вот на пыхе логаут сделан ссылкой "/logout/{$sid}", а если бы он был просто "/logout/" и я бы здесь в камменте вставил

  • artoodetoo

    Сообщения: 5147 Репутация: N Группа: в ухо

    Spritz 21 сентября 2010 г. 4:07, спустя 2 минуты 7 секунд

    токен в POST или даже в GET типа логаута вам в помощь.реферер как-то ненадежно
    Спустя 40 сек.
    о, SMF местами умный :)
    ιιlllιlllι унц-унц

  • Hight

    Сообщения: 1489 Репутация: N Группа: Адекваты

    Spritz 21 сентября 2010 г. 6:23, спустя 2 часа 16 минут 16 секунд

    Я правда так и не понял что там в ТС за еботня с array??? помоему дохлый какой-то код

    И пусть имеющий глаза, да увидит! Смотри внимательнее, код написан в хитрой манере.
    Я режу магические кавычки вначале сценария.

    vasa_c, Абырвалг, Вы обрабатываете все пришедшие данные в начале скрипта?! Вопрос. А зачем? Зачем обрабатывать всё.
    Плюс для пост-данных ещё хорошо бы проверять хост.

    Реферер. Бред. Реферер ничего не даёт, подделывается на раз. Годится только для какой-нибудь статистики.

  • vasa_c

    Сообщения: 3131 Репутация: N Группа: в ухо

    Spritz 21 сентября 2010 г. 6:31, спустя 7 минут 48 секунд

    Вы обрабатываете все пришедшие данные в начале скрипта?!

    Я отрубаю нах все магические кавычки и т.п. в настройках.
    А на тот случай, когда что-то оказалось не отрубленным, я с самого начала привожу всё в тот вид, который должен быть.

    Реферер. Бред.

    Перед написанием слова "бред" нужно потратить несколько минут, чтобы вникнуть в то, что там написано.
    Подделки там совершенно нипричем.

Пожалуйста, авторизуйтесь, чтобы написать комментарий!

наше все Форум Пользователи Пыхослёт Slack Тикеты
социализация
(ц) пыха.ру / с 2007 года         Total: 0.009s         Часовой пояс — America/Los_Angeles
ПИПИСЬКА