rtrim()
Guest
Безопасный код или нет?
Меня тут попросили потестить код...
Безопасно ли:
На сервере register_globals включено, т.е. http://server/script.php?st=12345 в итоге выдаст эти 12345 на странице.
Но он (кто попросил потестить) говорит мне, что такой код не дает шансов для взлома его сайта (пока его не хакали).
Но как минимум, пригласить пользователя по ссылке можно вот так:
http://server/script.php?st=<h1>Сайт в данный момент не функционирует - приходите позже!</h1><img src=url_of_some_picture><p>
что выдаст пользователю немного не то, что он хотел.
Его утверждение - ко мне приходят из поисковиков,... но никак не по чьим-то ссылкам.
Так как я не доказал (пока) уязвимость его кода, он выигрывает -))
Но думается мне, что это очень небезопасно!
Меня тут попросили потестить код...
Безопасно ли:
PHP:
<?php
...
$res = mysql_query("select header,tekst from table limit 2") or die(mysql_error());
//нет(!) $st = '';
while($row = mysql_fetch_array($res)) {
...
$st .= $row['header'] . '<br>' . $row['tekst'] . '<br><br>'; // !!!!!!!!
...
}
echo $st; //!!!!!!!
...
?>Но он (кто попросил потестить) говорит мне, что такой код не дает шансов для взлома его сайта (пока его не хакали).
Но как минимум, пригласить пользователя по ссылке можно вот так:
http://server/script.php?st=<h1>Сайт в данный момент не функционирует - приходите позже!</h1><img src=url_of_some_picture><p>
что выдаст пользователю немного не то, что он хотел.
Его утверждение - ко мне приходят из поисковиков,... но никак не по чьим-то ссылкам.
Так как я не доказал (пока) уязвимость его кода, он выигрывает -))
Но думается мне, что это очень небезопасно!
