защита передаваемых параметров

[vrazbros]

защита передаваемых параметров

Делаю один простенький скрипт (php, smarty, mysql) и столкнулся с проблемой что постоянно приходится передавать кучу параметров через $_GET. Ссылки динамически форм и POST не передаш. В результате URL вырастает и небезопасно это.

Например:

{foreach key=key from=$info_task item="entry"}
    <tr>
		<td>{$key+1}</td>		
		<td>{$entry.date}</td>		
		<td>{$entry.comments}</td>
		<td><a href="{$SCRIPT_NAME}?action=uptask&id_task={$entry.id_task}&id_pr={$mas.id_project}">вверх</a> \
		<a href="{$SCRIPT_NAME}?action=downtask&id_task={$entry.id_task}&id_pr={$mas.id_project}">вниз</a></td>
		<td><a href="{$SCRIPT_NAME}?action=edittask&id_task={$entry.id_task}&id_pr={$mas.id_project}&id_us={$id_user}">изменить</a></td>
		<td><a href="{$SCRIPT_NAME}?action=deltask&id_task={$entry.id_task}&id_pr={$mas.id_project}">удалить</a></td>		
	</tr>
	{foreachelse}

В то же время в cms Joomla, Drupal url всегда чистые. Как они передают и защищают данные? Врятли все через сессии, если каждую переменную запихивать в сессию можно потом захлебнуться.

 

[Апокалипсис]

В 1 ссылке передаются 3 параметра и ты считаешь что это много?

 

[tf]

В результате URL вырастает и небезопасно это.

объясни причны небезопасности?

 

[HraKK]

Ссылки динамически форм и POST не передаш

Почему?

Возмите и посмотрите как там реализованно.

В результате URL вырастает и небезопасно это

Небезопасно - небезопасный код. А от использования ГЕТ небезопастноть не увиличивается.

 

[vrazbros]

Автор оригинала: tf
объясни причны небезопасности?

если заменить id_pr в урл можно отредактировать совсем не то что было изначально

 

[Апокалипсис]

А проверку на стороне сервера уже отменили?

 

[kvf77]

Народ вам больше обсудить нечего? Каким местом тема вообще имеет отношение к PHP?

 

[kvf77]

Тема закрыта.

Создание новых тем, имеющих малосодержательное название запрещено правилами форума.
Помните о других людях, которые будут искать ответ на схожий вопрос.
Формулируйте название темы более четко.
Правила форума: http://phpclub.ru/talk/announcement.php?s=&forumid=12

 

[Фанат]

vrazbros

если заменить id_pr в урл можно отредактировать совсем не то что было изначально

поэтому на сервере должна стоять проверка - может ли пользовать редактировать запрошенный документ.
еще вопросы будут?

В то же время в cms Joomla, Drupal url всегда чистые. Как они передают и защищают данные?

передают обычно - через адресную строку.
никак не защищают, поскольку это бесполезно

 

[ZigFreeD]

А что по твоему POST много безопаснее? Кто мне мешает маленько подправить страничку и отправить по посту другие данные?
Используй проверку на вшивость на самом сервере...

 

[Beavis]

куда моё сообщение делось?)

 

[kvf77]

нафига тему назад открыли?
ну развлекайтесь раз вам так нравится