Отмена автоматического создания переменных

[Жиган]

Пацаны, скажите как отменить автоматическое создание переменных по отправленным к странице именам полей.

В настройке php сделал

_register_globals = Off

но все равно можно создать переменную через браузерную строку дописав, например:

?trol=sosnickii

к ссылке.

 

[zerkms]

А что за знак подчёркивания в начале?

phpinfo(); и в нём ещё посмотри значение register_globals

 

[Жиган]

А что за знак подчёркивания в начале?

phpinfo(); и в нём ещё посмотри значение register_globals

Ну может там нету подчеркивания. Просто мне показалось что было.

Функцию запустил:

register_globals Off Off

показывает

 

[c0dex]

Код, где создается переменная, в студию...

 

[Жиган]

<h1>Form Reader</h1>

<?

print <<<HERE
<table border ="1">
<tr>
   <th>Field</th>
   <th>Value</th>
</tr>
HERE;

foreach ($_REQUEST as $field => $value){
 print <<<HERE
   <tr>
      <td>$field</td>
      <td>$value</td>
   </tr>
HERE;
}
print "</table>";

?>

Вот эта форма принимает переменные. Почему она принимает переменные, прописанные в адресную строку в виде:

trol.php?peremennaya=zna4enie

?

 

[zerkms]

Потому что ты сам их выбираешь из массива $_REQUEST

 

[craz]

гэк)

 

[Жиган]

Потому что ты сам их выбираешь из массива $_REQUEST

Т.е. автоматического создания переменных не происходит? А в чем проблема автоматического создания?
Перезапись переменных подставленными и возможность взлома таким образом?

 

[craz]

ну к примеру ты делаешь

<?
if($admin_hash=="198169786176352635fdlkjhaskjgdha")
?>
а тебе в скрипт прям заправляют /?admin_hash=198169786176352635fdlkjhaskjgdha
зачастую когда стоит у тебя получение переменных из GET POST включено то не надо даже хеша.

 

[Жиган]

а тебе в скрипт прям заправляют /?admin_hash=198169786176352635fdlkjhaskjgdha

Заправляют в адресную строку браузера?

зачастую когда стоит у тебя получение переменных из GET POST включено то не надо даже хеша.

Поподробнее можно про это? Что ты имел ввиду?

 

[baev]

«Поподробнее» — в мануале: http://www.php.net/manual/ru/security.globals.php

 

[craz]

заодно и я обновлю в памяти)

 

[Жиган]

«Поподробнее» — в мануале: http://www.php.net/manual/ru/security.globals.php

О, спасибо, братух!))

 

[Жиган]

<?php
if (isset($_COOKIE['MAGIC_COOKIE'])) {

    // MAGIC_COOKIE получена из достоверного источника.
    // Для полной уверенности необходимо проверить ее значение.

} elseif (isset($_GET['MAGIC_COOKIE']) || isset($_POST['MAGIC_COOKIE'])) {

   mail("[email protected]", "Обнаружена попытка взлома", $_SERVER['REMOTE_ADDR']);
   echo "Обнаружено нарушение безопасности, администратор уведомлен.";
   exit;

} else {

   // MAGIC_COOKIE в данных запроса не присутствует
}
?>

Насколько я понимаю тут проверяется источник поступления переменной MAGIC COOKIE? Т.е. если она пришла из массива cookie то норм, а если из get или post то начинается тревога?

И еще хочу спросить данные из форм обязательно или по методу post или по методу get поступают? Или не указав метод в форме они еще каким-то образом передаются?

 

[craz]

Или не указав метод в форме они еще каким-то образом передаются?

)))

Вы может начнете читать не только то что вам тут сказали? а вообще начнете учиться?

http://htmlbook.ru/html/form/method

Значение по умолчанию

GET

 

[Жиган]

)))

Вы может начнете читать не только то что вам тут сказали? а вообще начнете учиться?

http://htmlbook.ru/html/form/method

Да надо бы самому привыкать)

 

[baev]

Жиган:
http://www.php.net/manual/ru/tutorial.forms.php
http://phpclub.ru/faq/ReadManual