Ha jól hiszem, Kubanka Peter írta az alábbiakat:
> >
> > És a POST-tal szerinted nem lehet trükközni? Nekem elég hihetetlennek
> > tűnik...
> >
>
> A post-al olyan módon, mint a GET-el, nem lehet. POST esetében nem
> működik az adatküldés egy sima img tagen keresztül (CSFR attack).
> Természetesen
Nem csak szebb, de a keresők is jobban szeretik ezt a megoldást :)
>>
>> Ha pedig zavar az index.php?menu=1 formátum, megoldható az, hogy csak
>> így keljen beírni a címet: www.valami.hu/1 vagy www.valami.hu/2
>> csak ehez a szolgáltatónál telepítve kell lennie a mod_rewrite apache
>> modulnak, j
>
> És a POST-tal szerinted nem lehet trükközni? Nekem elég hihetetlennek
> tűnik...
>
A post-al olyan módon, mint a GET-el, nem lehet. POST esetében nem
működik az adatküldés egy sima img tagen keresztül (CSFR attack).
Természetesen a POST-al küldött adatokat is ellenőrizni kell.
Mindegy, nem já
Ha jól hiszem, Kubanka Peter írta az alábbiakat:
> A legutolsó levelemben adtam url-t, amúgy igen, hibáztam,
> elfelejtettem írni, hogy a GET használatát is kerülni kell, illetve
> csak akkor szabad használni, ha biztosak vagyunk abban, hogy
> rosszakaróan nem lehet felhasználni.
>
> > Nem hiszem,
Ha jól hiszem, Kubanka Peter írta az alábbiakat:
> 1. kevered a POST-ot és a GET-et, amikor
> www.valami.hu/index.php?valtozo=ertek -et használsz, az a GET.
Valóban. :) Mindig összekeverem, mondjuk eddig nem igazán volt
érdekes, mert a $_REQUEST-tel játszottam. :)
> A menüdre a megoldás:
>
> Ha
1. kevered a POST-ot és a GET-et, amikor
www.valami.hu/index.php?valtozo=ertek -et használsz, az a GET.
2. A POST használatát nem kell kerülni, formoknál azt kell használni,
cross-site scripting nem fog vele tudni mit kezdeni, persze adatok
ellenörzése ott is kell
jól mondtad, a felhasználótól j
Ha jól hiszem, Péter Kuti írta az alábbiakat:
> Szép Napot!
>
> A php-ban a session a szerver fut le!
> Sütiket a felhasználó gépére lehet tenni!
Ez szerintem annyira pongyolán van megfogalmazva, hogy tényleg nem
értem, hogy mit akarsz ezzel mondani.
--
PTG
This supersedes all previous notices.
Ha jól hiszem, Kubanka Peter írta az alábbiakat:
> A legutolsó levelemben adtam url-t, amúgy igen, hibáztam,
> elfelejtettem írni, hogy a GET használatát is kerülni kell, illetve
> csak akkor szabad használni, ha biztosak vagyunk abban, hogy
> rosszakaróan nem lehet felhasználni.
>
> >
> > Nem his
Pirity Tamás Gábor írta:
Nem hiszem, hogy a GET-et ne lehetne (esetleg icipicit macerásabban)
hamisítani.
Nem arról van szó, hogy ne lehetne hamisítani. Ha $_REQUEST -et
használsz, akkor az adatok 3 helyről (get, post, cookie) jöhetnek, így
azok felül is írhatják (írják is a variables_order b
Szép Napot!
A php-ban a session a szerver fut le!
Sütiket a felhasználó gépére lehet tenni!
--
Szép és Mosolygós Napot Kívánok!
Kuti Péter
___
Techinfo mailing list
Techinfo@lista.sulinet.hu
Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo
A legutolsó levelemben adtam url-t, amúgy igen, hibáztam,
elfelejtettem írni, hogy a GET használatát is kerülni kell, illetve
csak akkor szabad használni, ha biztosak vagyunk abban, hogy
rosszakaróan nem lehet felhasználni.
>
> Nem hiszem, hogy a GET-et ne lehetne (esetleg icipicit macerásabban)
>
Ha jól hiszem, Kubanka Peter írta az alábbiakat:
> >> A $_REQUEST tömb használatát pedig KIFEJEZETTEN nem tanácsolom,
> >
> > Ez viszont nagyon furcsa nekem, az összes általam olvasott doksiban
> > kifejezetten ezt ajánlják.
>
> Ha a $_REQUEST-et használod, akkor mindegy, hogy az adatot POST vagy
http://phpsec.org/projects/guide/2.html
Ez egy nagyon hasznos leírás, a form-ok biztonságossá tételéhez,
amiket már leírtam benne vannak, plussz még hogy érdemes egy rejtett
mezőt is létrehozni
amiben van egy form_id és a form_id értékét ellenörizni, hogy tényleg
az e az elvárt id, én ezt úgy tesz
>> A $_REQUEST tömb használatát pedig KIFEJEZETTEN nem tanácsolom,
>
> Ez viszont nagyon furcsa nekem, az összes általam olvasott doksiban
> kifejezetten ezt ajánlják.
Ha a $_REQUEST-et használod, akkor mindegy, hogy az adatot POST vagy
GET módban küldik a formodnak. Tételezzük fel, hogy egy felh
Ha jól hiszem, Kubanka Peter írta az alábbiakat:
> Én azt mondom neked, használd nyugodtan a sütiket és ne bonyolítsd az
> életedet azok miatt, akik maguknak bonyolítják a böngészést a sütik
> tiltásával, nagyon kevesen vannak.
Ezzel nagyon egyetértek.
> odafigyelni, hogy ha valaki bejelentkezik,
Én azt mondom neked, használd nyugodtan a sütiket és ne bonyolítsd az
életedet azok miatt, akik maguknak bonyolítják a böngészést a sütik
tiltásával, nagyon kevesen vannak.
Én is programozok php-ban, és a sessiont letudom annyival, hogy
session_start() és onnantól a $_SESSION változóban benne van
Ha jól hiszem, Baranyai Tibor írta az alábbiakat:
> Meg annyit, sutikkel nem igazan szeretnek foglalkozni, mert a
> bongeszok altalaban nem engedik a sutiket. Azt viszont nem szeretnem,
Gondolod? Mert szerintem nagyon-nagyon kevés van, aki nem engedélyezi a
sütiket, és a php-s session függvények i
más, csak egy
> phpinfo(); parancs) abban benne vannak a beállítások. Lehet,hogy ott éppen
> nem is PHPSESSID-nek hívják, hanem másnak.
>
> Sücy
>
> -Original Message-
> From: Baranyai Tibor [mailto:bt7...@gmail.com]
> Sent: Friday, March 20, 2009 10:40 AM
> To: techin
nem
is PHPSESSID-nek hívják, hanem másnak.
Sücy
-Original Message-
From: Baranyai Tibor [mailto:bt7...@gmail.com]
Sent: Friday, March 20, 2009 10:40 AM
To: techinfo@lista.sulinet.hu
Subject: Session probléma (PHP)
Kedves Lista!
Tanulo PHP-s vagyok, es a munkafolyamat-kezelesel
Kedves Lista!
Tanulo PHP-s vagyok, es a munkafolyamat-kezelesel eloszor van problemam.
A kovetkezo tortent.
Az eddigi fejlesztes egy al-domain-en tortent. (http://xyz.domain.hu)
Eddig rendben is volt minden, de kozben regisztraltunk egy uj domain
nevet, ami a fenti aldomainra mutat, igy lett az
20 matches
Mail list logo