Probleme link

xplozia · Mesajde **xplozia** » Vin Oct 13, 2006 12:43 pm

Am urmatoarea secventa de cod care imi deschide o pagina " <a href="index.php?pagina=contact.php">Contact</a> ".
Problema este ca oricine poate incarca remote orice pagina de genul " ?pagina=http://exploit ".
Concret, pe acest exemplu, cum pot scapa de problema asta?

MihaiC · Mesajde **MihaiC** » Vin Oct 13, 2006 12:50 pm

nu mai pui sa itzi redirectzioneze in alte pagini ...

vectorialpx · Mesajde **vectorialpx** » Vin Oct 13, 2006 1:40 pm

ce vrei sa faci ?
daca vrei sa iei date din db... faci select cu GET in pagina catre care trimiti
dinamic.php?pagina=contact
SELECT * FROM tabel WHERE pagina=$_GET['pagina']

redirect... faci direct

... adica link catre `contact.php`...

daca vrei sa faci include la $_GET[] .... raspunsul la intrebarea ta este:

NU POTI SCAPA !

Daemon7 · Mesajde **Daemon7** » Vin Oct 13, 2006 1:45 pm

Creezi un array cu paginile valide, si in momentul cand trebuie sa faci redirectarea, verifici daca ce e in $_GET se afla si in array-ul respectiv. Sorry ca trebuie sa zic asta dar un redirect bazat pe valori din $_GET e o idee foarte proasta, pe care se pot executa atacuri de tipul cross-site scripting foarte usor.

Dodo · Mesajde **Dodo** » Vin Oct 13, 2006 1:50 pm

Daca gasesti http:// sau https:// in link afisezi o eroare.

Mascka · Mesajde **Mascka** » Vin Oct 13, 2006 2:32 pm

mergi pe ideea lui Daemon7...

Probleme link

Probleme link

Cine este conectat