העברת נתונים לשרת דרך ה URL

avraham

1. אני רוצה לבנות קובץ PHP שיקבל נתונים דרך ה URL, כלומר שהURL יהיה כך:

   http://domain.com/file.php?do-something
   אני מחלץ את הנתונים כך

   $data= preg_replace('/.+??/', '', $_SERVER['REQUEST_URI']);
   האם יש דרך יותר אלגנטית לקבל רק את הנתונים שאחרי הסימן שאלה?

2. האם זה פרצת אבטחה שהשרת יקבל נתונים בצורה כזו?

פורסם במקור בפורום CODE613 ב01/08/2016 21:24 (+03:00)

magicode

תקרא את זה.

http://webmaster.org.il/articles/php-forms

פורסם במקור בפורום CODE613 ב01/08/2016 21:33 (+03:00)

avraham

תודה רבה!
באגב מצאתי גם את זה בענין האבטחה
http://webmaster.org.il/articles/php-security

פורסם במקור בפורום CODE613 ב01/08/2016 21:47 (+03:00)

avraham

בקשר לאבטחה, מספיק שאוסיף מסנן שאם יש תג HTML כמו <> זה יעצור את הדף?
האם אפשר להזריק גם קוד זדוני שיעובד בצד השרת?
תודה מראש!

פורסם במקור בפורום CODE613 ב02/08/2016 00:05 (+03:00)

avr416

@avraham

בקשר לאבטחה, מספיק שאוסיף מסנן שאם יש תג HTML כמו <> זה יעצור את הדף?
האם אפשר להזריק גם קוד זדוני שיעובד בצד השרת?
תודה מראש!

ודאי שאפשר, אפשר להזריק לך פקודת SQL שתמחוק לך את כל הדטהבייס.. זה עובד בצד שרת.

פורסם במקור בפורום CODE613 ב02/08/2016 00:10 (+03:00)

avraham

@avr416

@avraham
בקשר לאבטחה, מספיק שאוסיף מסנן שאם יש תג HTML כמו <> זה יעצור את הדף?

האם אפשר להזריק גם קוד זדוני שיעובד בצד השרת?
תודה מראש!

ודאי שאפשר, אפשר להזריק לך פקודת SQL שתמחוק לך את כל הדטהבייס.. זה עובד בצד שרת.

אבל הקוד מגיע כסטרינג? למה השרת יעבד את הבקשה?

פורסם במקור בפורום CODE613 ב02/08/2016 00:15 (+03:00)

avraham

האם זה נכון שאם הקובץ הספציפי לא מתחבר למסד נתונים, אז אין חשש להזרקת SQL?

פורסם במקור בפורום CODE613 ב02/08/2016 19:12 (+03:00)

רחמים

דברים לא מתרחשים מאליהם, כל החשש שאתה לוקח את הקלט מהמשתמש ומשתמש בו כשאילתא בלי להפוך אותו למחרוזת.

פורסם במקור בפורום CODE613 ב02/08/2016 22:27 (+03:00)

avraham

תודה לכל העוזרים

פורסם במקור בפורום CODE613 ב03/08/2016 00:45 (+03:00)