Strona 1 z 2 12 OstatniOstatni
Pokaż wyniki od 1 do 10 z 18

Wątek: [Oszustwo] sedzia.php

  1. #1
    Bugolog Vallheru'owski Awatar McFly
    Dołączył
    Feb 2008
    Posty
    414

    Domyślnie [Oszustwo] sedzia.php

    1. Opis błędu
    Brak sprawdzania czy zmienna $_POST['rank'] to dozwolona ranga.
    2. Zagrożenie
    Nadanie każdej rangi graczowi.
    3. Rozwiązanie
    [OTWÓRZ]
    sedzia.php
    [ZNAJDŹ]
    Kod php:
            $strRank $db -> qstr($_POST['rank'], get_magic_quotes_gpc()); 
    [ZAMIEŃ NA]
    Kod php:
            $arrRank = array('Member''Ławnik''Prawnik');
            
    $strRank $db -> qstr($_POST['rank'], get_magic_quotes_gpc());
            if (!
    in_array($_GET['lista'], $arrRank)) error(ERROR); 

  2. #2
    Zasłużony Awatar karer
    Dołączył
    Apr 2008
    Posty
    2,554

    Domyślnie

    Hmm tak sobie mysle ze chyba to zabezpieczenie jest zbedne. A wlasciwie powiedzialbym ze nawet utrudnia rozwoj gry. Pamietaj ze w przypadku operacji na bazie i uzywania SELECT nie trzeba tak bardzo filtrowac danych. Zapytanie moze zwrocic 0 wierszy i wtedy wystarczy tylko to sprawdzic. W tym przypadku dodanie nowej rangi wiaze sie z bezsensownym edytowaniem tego pliku...

  3. #3
    Pesymista :( Awatar Harrocan
    Dołączył
    Sep 2007
    Posty
    1,663

    Domyślnie

    Zawsze można trzymać takie coś w bazie

  4. #4
    Zasłużony Awatar karer
    Dołączył
    Apr 2008
    Posty
    2,554

    Domyślnie

    Nawet nie trzeba. W wypaduk selectow zabezpieczenie powinno sie opierac na wykluczeniu jedynie SQL-inj i pozniej po samym zapytaniu sprawdzeniu czy liczba wybranych wierszy jest wieksza od 0. Pomaga to bardzo w zachowaniu elastycznosci aplikacji.

  5. #5
    Bugolog Vallheru'owski Awatar McFly
    Dołączył
    Feb 2008
    Posty
    414

    Domyślnie

    Nie rozumiem, jak zero wierszy ?

  6. #6
    Zarejestrowany Awatar Cezar
    Dołączył
    Dec 2009
    Posty
    298

  7. #7
    Bugolog Vallheru'owski Awatar McFly
    Dołączył
    Feb 2008
    Posty
    414

    Domyślnie

    Na a co to ma do funkcji tego pliku ?
    Ja zabezpieczyłem po to, by ktoś nie dodał rangi Admin.

    P.S.
    Tak w ogóle wolę nazwę rekordy, niż wiersze.

  8. #8
    Zarejestrowany Awatar Cezar
    Dołączył
    Dec 2009
    Posty
    298

    Domyślnie

    To ma, że może po przeczytaniu zrozumiesz co znaczy "0 wierszy".

  9. #9
    Bugolog Vallheru'owski Awatar McFly
    Dołączył
    Feb 2008
    Posty
    414

    Domyślnie

    A jeśli podam dobre id i będzie jeden wiersz, to mogę sobie dowolną rangę nadać ?
    Cezar, czyt. ze zrozumieniem. I nie nad interpretuj.

  10. #10
    Zarejestrowany Awatar Cezar
    Dołączył
    Dec 2009
    Posty
    298

    Domyślnie

    McFly, wyr. się precyzyjnie.

Strona 1 z 2 12 OstatniOstatni

Informacje o wątku

Użytkownicy przeglądający ten wątek

Aktualnie 1 użytkownik(ów) przegląda ten wątek. (0 zarejestrowany(ch) oraz 1 gości)

Podobne wątki

  1. [Oszustwo] tribearmor.php
    Przez McFly w dziale Bugologia
    Odpowiedzi: 0
    Ostatni post / autor: 04-06-2010, 02:11
  2. [Oszustwo] tribeware.php
    Przez McFly w dziale Bugologia
    Odpowiedzi: 0
    Ostatni post / autor: 25-03-2010, 19:01
  3. [Oszustwo] bank.php
    Przez McFly w dziale Bugologia
    Odpowiedzi: 2
    Ostatni post / autor: 16-03-2010, 18:46
  4. [Oszustwo] house.php
    Przez McFly w dziale Bugologia
    Odpowiedzi: 0
    Ostatni post / autor: 16-03-2010, 16:43
  5. [Oszustwo] equip.php
    Przez McFly w dziale Bugologia
    Odpowiedzi: 0
    Ostatni post / autor: 16-03-2010, 16:24

Zakładki

Uprawnienia umieszczania postów

  • Nie możesz zakładać nowych tematów
  • Nie możesz pisać wiadomości
  • Nie możesz dodawać załączników
  • Nie możesz edytować swoich postów
  •