terve ja kiitos palstan pyörityksestä vielä kerran.
en nyt ihan varma onko tämä tälläisille kysymyksille oikea paikka mutta laitan kuitenkin.
eli mulla on sivustolla tälläinen html:
<form action="search/haku.php" method="get">
$income = strtolower($_GET['haku']);
$fh = fopen("haku.txt", 'a+');Nyt se kysymys:
käsitin että jos tuonne laittaa oikein aseteltua (php)koodia tapahtuupi jotain mitä minä en halua tapahtuvan sivustoillani mitä testailen, ja että sen voisi estää muuttamalla tulotekstin vain html:lnä luettavaksi. (näin siis käsitin, enkä enään osaa löytää samaiseen paikkaan missä tästä varoiteltiin ja neuvottiiin)
onko tarvittava suojautumis operantti = htmlspecialchars()
ja välillä hakusessa näyden sulkeiden kanssa niin onko oikea muoto:
$income = htmlspecialchars(strtolower($_GET['haku']));
mukavaa vuoden ajanvaihtumisen aikaa, ja itse ajattelin muistaa myös ulkoilman. ;)
Eli onko ajatuksenasi pitää kirjaa haettavista hakusanoista, vai miksi tallennat ne tiedostoon? Kuitenkaan tiedostossa oleva php-koodi ei sinällään ole haitallista, ellet sitten suorita sitä palvelimella.
Eli jos oletetaan, että haet tiedoston sisällön seuraavasti:
<?php $hakusanat = file("haku.txt");
Tällöin kaikki hakusanat ovat $hakusanat-taulukossa riveittäin. Vaikka joukossa olisi kelvollista php-koodia ei sen tulostaminen esille muodosta suoraan mitään riskiä, koska sinun pitäisi ajaa hakusanat esimerkiksi eval-funktion läpi. htmspecialchars liittyy tosin tulostukseen, mutta sen tarkoituksena on muuttaa merkit niin, etteivät ne riko ulkoasua.
<h1>Haahaa</h1>
Tuo rivi ilman käsittelyä rikkoisi sivusi ulkoasua ikävällä tavalla, mutta ajamalla rivin htmlspecilchars-funktion läpi ei ongelmia tule ulkoasun kanssa.
ajattelin juu pitää kirjaa hakusanoista ja katsoa jahka kehityn miten voin niitä ruveta käsittelemään, nyt tosin vuosi mennyt ilman tätä puuhaa, nyt yritän taas lämmitellä.
eli tarkoitus olisi käsitellä sitä "haku.txt" filua php metodein ja palvelinta käytän testialustana usein, tai windows+xampp.
mutta se ettei varsinaista hyökkäystä minun palvelimelle voi tehdä tuon infolootan kautta niin hyvä, mutta tieto luo tuskaa ja nyt jään miettimään voiko tuo "haku.txt" sisältäää sellaista koodia jonka "perkaaminen" php:llä toisi riskin.
en sitä sivustoakaan ole mainostellut vielä millä sitä olen testaillut kun tuon mahdollisen uhkan luin legendaarisesta paikasta nimeltä "jostakin" :)
Aihe on jo aika vanha, joten et voi enää vastata siihen.