ugrás a tartalomhoz

A böngészőktől való félelem

Vas Dávid · 2006. Dec. 12. (K), 01.36
Üdv!

Egy kérdés már régóta a fejemben van:
ugyen tegyük fel hogy van egy php oldal amin van egy 3 elemből álló lenyiló lista (select), regisztrációkor lehet ebből választani
tartalma:
admin
felhasználó
szerkesztő

és ugye mikor egy eflhasználó regisztrál alapból kivan választva egy menüpont mondjuk a felhsaználó ha kell akkor selected-et is lehet oda tenni.
És ha megynomom a beküldés submit gombot akkor semmiképpen sem történhet olyan eset, hogy a select üres értéket külde be...
De! mivan akkor, ha mégis és én ugye ezt nem is ellenőrzöm mert ez nem lehetséges hisz 3 menüpont van abból mind3-on van egy érték (value) beállítva.

De ha egy hacker mondjuk ír egy böngészőt amiben mondjuk csatlakoik egy 4. mező is minden lenyiló listánál és az a mező üres és küldi be a felhasználó a regisztrációs űrlapot és ez később hibát generál?

vagy mondjuk mikor az admin aktiválja azt a felhsaználót és a státuszánál úgy látja hogy egy sima mezei felhasználó de mondjuk az üres vagy a 0 érték olyanná teszi mintha admin lenne, akkor mi van:) ?

vagy akkor mi van ha egy felhsaználó név a mysql-ben elfoglalt helye max 128 karakter lehet (varchar 128) de az oldal regisztrációkor ezt 64-re csökkenti (maxlength="64") és a böngésző ezt nem ismeri fel (vagyis nem akarja mert egy hacker írta) és mondjunk beviszünk egy 100 karakterből álló felhsaználói nevet...

és stb. és stb. Tehát gondolom már mindeki tudja mire is gondolok?

OFF: Esetleg valaki tudna nekem ajánlani egy jó szövegszerkesztőt?, amit tud utf8-at is, jelenleg a textpad-ot használom de mikor utf-8 ban (ansi) elmentek egy fájlt és van benne ű és ő betű majd azt megnyitom akkor hibát kiírva a betűket kérdő jelre (?) cseréli.. ilyesmi van a hibában: ansi latin 1 gondolom latin2-nek kéne lenni valahol valamilyen beállításnak...:D

Remélem nem túl fura vagy hülyeség a kérdés...:)
 
1

Szerver oldal

Anonymous · 2006. Dec. 12. (K), 02.02
Szerver oldalon szokás ellenőrizni az összes felhasználó által megadott adatot. Hosszra, milyen karaktereket tartalmaz, azok esetleges sorrendjét stb. Ezeket php-ben tökéletesen ki lehet szűrni.

OFF: Notepad++
2

sőőt

Anonymous · 2006. Dec. 12. (K), 06.15
sőt, asszem' a legújabb megjelent PHP ban erre lesz rendszer szinten is megoldás. Valamilyen metódus, vagy valami ilyesmi, ami végigellenőrzi az összes kintről érkező változó értékét, hogy nincs-e valami huncutság benne.

Egyébként érdemes a usertől érkező adatokat legalább egy htmlentities függvénynel lekódolni, és akkor nem érhet baj.

Off: PSPad
3

nem kell böngészőt írni, csak feltenni egy addont

dummy · 2006. Dec. 12. (K), 13.44
Az itteni forumozók többsége használ olyan kiterjesztést FF alatt, ami megkönnyíti a webfejlsztést, ezek "némelyike" képes az aktuális oldalt megváltoztatni ;-) (Webdeveloper, Firebug, ...)