1. пожалуйста, воспользуйтесь поиском по форуму | 2. когда tainting мешает жить, и это ХОРОШО

Александр Петросян (PAF) 22.04.2005 10:39

1. формочка слева, впишите в неё пару слов из вашего сообщения об ошибке.

сюрприз: вы не первый.

2. судя по всему, вы не прониклись идеей, что если данные приходят от посетителя, им нельзя безоговорочно доверять.

возьмём ваш случай: вы написали код, где согласно данным посетителя грузите с диска файлик. вероятно, потом этот файлик (или его часть) посетитель сможет увидеть.

вот и задумайтесь, что будет, если посетитель подставит вам (вместо ожидаемого вами) нечто такое:

?file=/admin/

если выполнить ваш код буквально, получится

загрузка /admin/index.html

однако в Parser заложено противодействие подобной забывчивости.
и подобный потенциально ошибочный код специально по-умолчанию не работает. а когда нужно, чтобы работал, необходимо явно выразить своё доверие к поступающим от пользователя данным. скажем, в закрытых разделах сайта, где злоумышленников "не бывает".

что конкретно сделать, вам посоветовали
http://www.parser.ru/forum/?id=39692

Как выйти из ситуации ?, Lew 21.04.2005 17:30
- 1. пожалуйста, воспользуйтесь поиском по форуму | 2. когда tainting мешает жить, и это ХОРОШО, Александр Петросян (PAF) [M] 22.04.2005 10:39
  - Re: 1. пожалуйста, воспользуйтесь поиском по форуму, cypher 22.04.2005 11:19
- Спасибо за помощь :(, Lew 21.04.2005 23:02
  - а что за проблема? (-), 22.04.2005 00:43
- скажите мне адрес такой страницы, Александр Петросян (PAF) [M] 21.04.2005 18:14
- грязные данные. прочитайте про taint/untaint. (-), Misha v.3 [M] 21.04.2005 18:01

Новости	FAQ	Авторы	Документация	В действии	Библиотека
Инструменты	Полезные ссылки	Хостинги	Скачать	Примеры	Форум