Проблема безопасности: имена полей формы и переменные

[slmark]

Проблема безопасности: имена полей формы и переменные

Подскажите, пожалуйста, стоит ли называть переменные, которым присваиваются значения полей формы, такими же именами, как и соответствующие поля формы.
Поясню:

<?
                $news_title = htmlspecialchars($_POST["news_title"], ENT_QUOTES);
                $news_content = htmlspecialchars($_POST["main_content"], ENT_QUOTES);
?>
<form action="index.php?mode=news&action=newsadd" method="post">
   Заголовок новости<br>
   <input type="text" class="boxitem" size="82" name="news_title"><br>
   Текст новости<br>
   <textarea cols="80" rows="25" class="boxitem" name="news_content"></textarea><br>
   <input type="submit" value="добавить новость">
</form>

То есть имена полей формы и имена переменных идентичны... Это может стать реальной дырой в коде - ведь злоумышленник потенциально знает имена переменных, используемых в коде? Или все же это ему абсолютно ничего не даст?
Спасибо!

 

[Фанат]

если писать правильно, то ничего не даст.
если ты объявляешь все переменные перед использованием, то какая разница - будет злодей знать их имена, или нет?

 

[WP]

Абсолютно ничего не даст, если код не дырявый.

 

[slmark]

то есть, пример кода выше ничего злоумышленнику не даст, так как переменные объявлены, так?

 

[Фанат]

а что они ему могут дать-то?

 

[slmark]

я не знаю, ребят вы уж извините, я в PHP novice так сказать... Многих аспектов не совсем понимаю, вот, собственно, и спрашиваю. Литературы много прочитал, а вот есть моменты, которые там не указаны .
Всем огромное спасибо за помощь!
Думается, тема закрыта.

 

[Фанат]

толку в литературе, если ты не понимаешь, что там написано?
ведь если ты прочитал где-то что-то про переменные, то надо ведь попытаться понять МЕХАНИЗМ этого действия.
А если ты его не понялЮ, то никакие вопросы на форуме тебе не помогут

 

[slmark]

да про переменные все понятно. Я же не совсем уже недалекий... Просто был интересен вопрос безопасности, вот и все . Теперь все прояснилось

 

[Фанат]

никак из твоих ответов не видно, чтобы что-то прояснилось.

 

[Popoff]

$news_title = htmlspecialchars($_POST["news_title"], ENT_QUOTES);

При некоторых обстоятельствах такой код может сообщить потенциальному хакеру полный путь к файлу с этим кодом. Если тебе всё ясно и понятно, можешь сказать, при каких?

 

[slmark]

Нет, не могу сказать

-~{}~ 20.07.06 12:56:

могу предположить, что можно подсмотреть action формы с полем, имя которого 'news_title', и там будет указан адрес файла, которому отсылается данные формы.
хотя тут много "но".

поправьте, пожалуйста, если не прав

 

[Фанат]

выполни скрипт
<?
error_reporting(E_ALL);
$news_title = htmlspecialchars($_POST["news_title"], ENT_QUOTES);
?>

а в экшене указывается не файл, а урл

 

[slmark]

Автор оригинала: Фанат
выполни скрипт
<?
error_reporting(E_ALL);
$news_title = htmlspecialchars($_POST["news_title"], ENT_QUOTES);
?>

Все мои ошибки логируются а не выводятся на экран.
Если вставить error_reporting(E_ALL); перед $news_title = htmlspecialchars($_POST["news_title"], ENT_QUOTES); в моем коде, ошибка не отображается и (в моем случае) не логируется, так как ее попросту нет!

а в экшене указывается не файл, а урл

action="index.php?mode=news&action=newsadd"

да, url, однака имя файла там тоже присутствует

 

[Фанат]

в моем коде, ошибка не отображается и

при чём здесь твой код?
я тебе сказал сделать ДРУГОЙ скрипт.

да, url, однака имя файла там тоже присутствует

не присутствует. нету в урле никаких файлов.

 

[slmark]

Автор оригинала: Фанат
при чём здесь твой код?
я тебе сказал сделать ДРУГОЙ скрипт.

я сделал, ошибка занеслась в лог

не присутствует. нету в урле никаких файлов.

index.php - это имя файла

 

[Фанат]

я сделал, ошибка занеслась в лог

молодец.

index.php - это имя файла

index.php - это часть урла.
а файл бывает только на диске.

 

[slmark]

Автор оригинала: Фанат
молодец.

спасибо, очень приятно

index.php - это часть урла.
а файл бывает только на диске.

я это прекрасно понимаю, однако index.php все равно имя файла, который является частью url.

 

[Фанат]

о господи.
как же трудно с упёртыми.
вот говоришь ему три раза - ему всё божья роса.
он уверен в том, что он всё знает

 

[Popoff]

Автор оригинала: slmark
Нет, не могу сказать

-~{}~ 20.07.06 12:56:

могу предположить, что можно подсмотреть action формы с полем, имя которого 'news_title', и там будет указан адрес файла, которому отсылается данные формы.
хотя тут много "но".

поправьте, пожалуйста, если не прав

action формы никакого отношения к полному пути к файлу не имеет. Вот здесь описано, почему:
http://phpfaq.ru/paths

 

[slmark]

action формы никакого отношения к полному пути к файлу не имеет

я предположил, а если вы понимали под определенными обстоятельствами возможный вызов ошибки и отображение ее на экране, тогда читайте выше

как же трудно с упёртыми.

я не упертый, просто я считаю, что мы тут оба правы

он уверен в том, что он всё знает

не уверен и не знаю.