|
|
form'dan post edilen bilgiyi $degisken olarak gormuyor?
K
kepche
Misafir
register_globals degerinin on olması durumunun güvenliğin için büyük sorun olabileceğini de söyleyeyim, içimde kalmasın 
eğer hazır script çalıştırmak istiyorsan, değiştirmeye üşeniyorsan, (ki hazır script lerin kodlarını başkaları da bulabilir muhtemelen) tehlikeli olabilir.
eğer hazır script kullanmıyorsan, kendi yazdıgın kodlarda tavsiyem off olarak kullan, $_POST['degisken'] , vs. gibi al değişkenlerini.
php.net de register_globals ve tehlikeleri hakkında bir yazı var, hatta google dan register globals ve security kelimelerini yanyana aratırsan, olası tehlikeler ve çözümleri hakkında fikir sahibi olabilirsin.
eğer hazır script çalıştırmak istiyorsan, değiştirmeye üşeniyorsan, (ki hazır script lerin kodlarını başkaları da bulabilir muhtemelen) tehlikeli olabilir.
eğer hazır script kullanmıyorsan, kendi yazdıgın kodlarda tavsiyem off olarak kullan, $_POST['degisken'] , vs. gibi al değişkenlerini.
php.net de register_globals ve tehlikeleri hakkında bir yazı var, hatta google dan register globals ve security kelimelerini yanyana aratırsan, olası tehlikeler ve çözümleri hakkında fikir sahibi olabilirsin.
Artik bu register_globals = Off olayina alisin.
PHP 6 ile birlikte artik register_globals diye bir direktif kalmayacak. Ve butun degiskenler super-globaller ile kullanilabilecek. (2007'de kararli surumu cikacak buyuk ihtimal - su anda deneme surumleri var)
PHP 6 ile birlikte artik register_globals diye bir direktif kalmayacak. Ve butun degiskenler super-globaller ile kullanilabilecek. (2007'de kararli surumu cikacak buyuk ihtimal - su anda deneme surumleri var)
Scriptte kullandigin butun degiskenleri basit bir get ile degistirebilirsin cunku. Mesela check degiskeni herhangi birseyi kontrol eden mekanizma olsa senin scriptinde,
if ($check == 1) {
// kontroldan gectin
}
else {
// kaldin
}
index.php?check=1 diye cagirdim. Ne oldu simdi?
---
mysql'e query yolluyorsun post'tan gelen. ama register_globals acik.
mysql_query("SELECT * FROM kullanici WHERE user='$user' AND password='$password'");
Ben o sayfaya post yapmiyorum, get yapiyorum
action.php?user=xxx&password=' OR 1=1
1=1 kosuluna uyan datayi cekebilirim, yani butun datayi kisaca.
if ($check == 1) {
// kontroldan gectin
}
else {
// kaldin
}
index.php?check=1 diye cagirdim. Ne oldu simdi?
---
mysql'e query yolluyorsun post'tan gelen. ama register_globals acik.
mysql_query("SELECT * FROM kullanici WHERE user='$user' AND password='$password'");
Ben o sayfaya post yapmiyorum, get yapiyorum
action.php?user=xxx&password=' OR 1=1
1=1 kosuluna uyan datayi cekebilirim, yani butun datayi kisaca.
register_globals 'i kapattım ama şimdi farklı bi problemim var ve sanırım o özelliğin kapalı olmasından kaynaklanıyor.
- admin2 ve pass2, formdan gelen bilgi.
- admin ve pass 'da conf daki bilgi (gerçi buna gerek yokta yazıyım dedim)
<?
extract($HTTP_GET_VARS);
extract($HTTP_POST_VARS);
include ("ayar.php");
setcookie ("mha[admin]", $admin2, time()+3600);
setcookie ("mha[pass]", $pass2, time()+3600);
echo $mha[admin];
echo $admin2;
echo $pass2;
/*if ( ($admin == $admin2) && ($pass == $pass2) )
{
header("location:yonetim.php");
}
else
header("location:index.php");
*/
?>
bilgi geliyor mu diye denediğimde $admin2 ve $pass2 gelen değeri echoluyor fakat, $mha[admin] değeri yansıtmıyor.
sanırım, register_globals kapalıyken farklı bir şekilde cookie attırmak gerek ama nasıl ?
- admin2 ve pass2, formdan gelen bilgi.
- admin ve pass 'da conf daki bilgi (gerçi buna gerek yokta yazıyım dedim
)<?
extract($HTTP_GET_VARS);
extract($HTTP_POST_VARS);
include ("ayar.php");
setcookie ("mha[admin]", $admin2, time()+3600);
setcookie ("mha[pass]", $pass2, time()+3600);
echo $mha[admin];
echo $admin2;
echo $pass2;
/*if ( ($admin == $admin2) && ($pass == $pass2) )
{
header("location:yonetim.php");
}
else
header("location:index.php");
*/
?>
bilgi geliyor mu diye denediğimde $admin2 ve $pass2 gelen değeri echoluyor fakat, $mha[admin] değeri yansıtmıyor.
sanırım, register_globals kapalıyken farklı bir şekilde cookie attırmak gerek ama nasıl ?
PHP gelistirme e-posta listeleri (php.net'in) ve gelistiricilerinin (Andrei, Zeev, Derick, Rasmus, vs) toplanti notlarindan. Ve tabiki PHP6'nin deneme surumundenOnurSqL' Alıntı:ben şu an php öğreniyorum. php6'da bu superglobal'in kalkacağını nereden öğrendin/takip ediyorsun.cahil kalmayalımda