Разделы
приемы безопасного программирования веб-приложенийРаздел: Документация PHP | |
В приведенном ниже фрагменте кода сознательно допущена серьезная ошибка в безопасности. Попытайтесь найти ее самостоятельно.
$sql_statement="select password from peoples where name='$PHP_AUTH_USER'";$result = mysql($dbname, $sql_statement);$rpassword = mysql_result($result,0,'password');$sql_statement = "select password('$PHP_AUTH_PW')";$result = mysql($dbname, $sql_statement);$password = mysql_result($result,0);if ($password != $rpassword) { Header("HTTP/1.0 401 Auth Required"); Header("WWW-authenticate: basic realm="My Realm""); exit;}
Упомянутая ошибка, между прочим, очень распространена среди начинающих и невнимательных программистов. Когда-то я сам поймался на эту удочку - по счастью, особого вреда это не принесло, не считая оставленных хакером в новостной ленте нескольких нецензурных фраз.
Продолжение статьи: ч.1 Продолжение статьи: ч.2 Продолжение статьи: ч.3 Продолжение статьи: ч.4 Продолжение статьи: ч.5 Продолжение статьи: ч.6 Продолжение статьи: ч.7 Продолжение статьи: ч.8 Продолжение статьи: ч.9 Продолжение статьи: ч.10 Продолжение статьи: ч.11
Другие материалы по теме:
- встроенные функции в php- PHP - система разработки скриптов
- приемы безопасного программирования веб-приложений
- обзор сетевых функций php
- Php и web. кэширование