Предыдущая страница реферата | 1  2  3  4  5  6  7  8  9 | Следующая страница реферата

?>

<html><body>

Вы ввели неверный пароль!

</body></html>

Как избавиться от <дыры> номер 2?

Предположим, у вас есть сайт, где каждый смертный может зарегистрироваться чтобы добавлять сообщения в форум. Естественно, в форуме у некоторых пользователей (админов, модераторов), возможностей больше чем у других, они, например, могут удалять сообщения других пользователей. Уровень доступа пользователя вы храните в сессии, в переменной $user_status, где $user_status = 10 соответствует полному доступу к системе. Пришедшему на сайт злоумышленнику достаточно зарегистрироваться штатным образом, а потом дописать в адресной строке браузера ?user_status=10. Вот и завёлся у вас на форуме новый админ!

В принципе, любую переменную скрипта можно задать через адресную строку, просто дописав после полного адреса к скрипту вопросительный знак и название переменной с её значением. Давайте поправим наш код, чтобы этого избежать:

- secretplace.php V2 -

<?php

// убираем всё лишнее из адресной строки

// функция unset() <освобождает> переменную

unset($logged_user);

// открываем сессию

session_start();

// и корректируем испорченные перменные.

// Важно: в этом случае, переменная регистрируется не как новая

// переменная, а как уже существующая, а потому знак $ не опускается

session_register($logged_user);

/*

просто зайти на эту страницу нельзя... если

имя пользователя не зарегистрировано, то

перенаправляем его на страницу index.php

для ввода логина и пароля... тут на самом деле

можно много чего сделать, например запомнить

IP пользователя, и после третьей попытки получить

Рекомендуем скачать другие рефераты по теме: развитие ребенка реферат, бесплатные дипломы.



Предыдущая страница реферата | 1  2  3  4  5  6  7  8  9 | Следующая страница реферата

Поделитесь этой записью или добавьте в закладки