Weboldal form biztonságának növelése – ötletelés
Elég nyakatekert a cím, de arra gondoltam, végre itt az idő, hogy a weboldalakba – főleg általam – beépített adatlapokat túlbiztosítsam. Mire is gondolok?
Elég nyakatekert a cím, de arra gondoltam, végre itt az idő, hogy a weboldalakba – főleg általam – beépített adatlapokat túlbiztosítsam. Mire is gondolok?
Emlékeztetőül magamnak, segítségül azoknak, akik rákeresnek, és ide tévednek. PHP budapesti alapbeállítások a php.ini [Date] szekciójára.
Most futottam bele, gyorsan lejegyzem…
File feltöltéshez építettem be egy JQuery-s flash betétet (Uploadify). A feltöltött kép neve megváltozik, mivel a PHP végrehajt egy string konverziót, hogy a file neve ne tartalmazhasson csúnya – de inkább káros – karaktereket. Azt gondoltam, hogy session-be mentem a végleges file-nevet, és visszatéréskor így tudni fogok róla. De jött egy pici meglepetés…
Valószínűleg nem a megosztás miatt, sokkal inkább saját magamnak készítek memoárt.
Az alábbi programrész annyit csinál, hogy vannak az oldalon Slide effekttel lenyíló div-ek. Mivel ezen divek további linkeket tartalmaznak aloldalakra, azt szerettem volna elérni, hogy ha visszajövök a kezdőlapra, akkor amit korábban lenyitottam, az meg is maradjon lenyitva. Ehhez a lenyíló div id-jét PHP session-be mentem, és amikor létrehozom a slidereket, ellenőrzöm, hogy korábban nyitva volt-e. Ha igen, akkor úgy állítjuk elő a lap betöltésekor.
Egy kis kódrészlet Mootools alá.
Körbenéztem a weboldalak error.log naplóiban, hogy mit lehet látni. Találtam egy helyes (illetve helytelen példát), amit most iderakok elrententésként, hogy miként lehet egy programozói bakival bevonzani a sok rosszakarót. Ha ilyen kódot használunk honlapunkban, és az a célunk, hogy kínából, oroszországból döljenek a támadások, hátradölhetünk, mert sikerült… Egy kis esettanulmány következik.