Новые книги
Windows Server 2012 R2 Storage, Security, & Networking Pocket Consultant
Windows Server 2012 R2 Pocket Consultant: Storage, Security, & Networking is designed to be a concise and compulsively usable resource for Windows administrators, developers, and programmers, and for anyone else who wants to use the storage, networking, and security features of Windows Server 2012 R2. This is the readable resource guide that you’ll want on your desk or in your pocket at all times. The book discusses everything you need to perform core tasks. Because the focus is directed on providing you with the maximum value in a pocket-sized guide, you don’t have to wade through hundreds of pages of extraneous information to find what you’re looking for. Instead, you’ll find exactly what you need to get the job done.
Наглядный самоучитель работы на нетбуке
Книга построена в форме иллюстрированных ответов на всевозможные вопросы, которые обычно возникают у начинающего пользователя нетбука. Рассмотрены настройка нетбука, основы работы в Windows 7, установка и использование популярных прикладных программ (антивирусов, архиваторов, переводчиков, гаджетов, бесплатных приложений Google и др.). Особое внимание уделено созданию сети и подключению к Интернету (по ADSL, GPRS, 3G/4G, Wi-MAX и выделенной линии). Продемонстрированы основы работы с браузерами Internet Explorer 8 и Opera, использование электронной почты, обмен сообщениями в ICQ и QIP, организация телефонных разговоров с помощью Skype. Описано подключение мобильного телефона и цифрового фотоаппарата. Показано, как слушать интернет-радио и музыку, смотреть фильмы и многое другое.

Данные, Отправляемые Пользователем
Версия для печати

Учебник РНР
НазадГлава 4. Безопасность Вперёд

Данные, отправляемые пользователем

Самые большие дыры во многих PHP-программах зависят не столько от самого языка, сколько от кода, написанного без учёта обеспечения безопасности. Соответственно, вы всегда должны выделять время для исследования влияний на данный участок кода, чтобы знать о возможном вреде, который может нанести отправка в него переменной с нестандартным значением.

Пример 4-17. Опасное использование переменных
<?php
// удалить файл из домашней директории пользователя ... а может -
// ещё что-нибудь?
unlink ($evil_var);

// записать логинг доступа ... или, может быть, вхождение /etc/passwd?
fputs ($fp, $evil_var);

// выполнить что-нибудь тривиальное ... или rm -rf *?
system ($evil_var);
exec ($evil_var);

?>

Вы всегда должны тщательно проверять ваш код, чтобы гарантировать, что любые переменные, отправляемые из web-браузера, соответствующим образом будут проверены, и задайте себе следующие вопросы:

  • Будет ли данный скрипт воздействовать только на предполагаемые файлы?

  • Могут ли быть обработаны необычные или нежелательные данные?

  • Может ли данный скрипт быть использован несоответствующим образом?

  • Может ли он быть использован в сочетании с другими скриптами негативным образом?

  • Будет ли выполнен адекватный логинг для каждой транзакции?

Задав себе эти вопросы при написании скрипта, а не потом, вы предотвратите возможную переделку для повышения защищённости. Начав таким образом, вы не гарантируете полную безопасность вашей системы, но сможете значительно повысить её.

Возможно, вы захотите также предусмотреть отключение register_globals, magic_quotes или других установок, которые могут создать у вас неуверенность в проверке, источнике или значении данной переменной. Работа с PHP в режиме error_reporting(E_ALL) также может помочь, предупреждая вас о переменных, используемых до проверки или инициализации (что предотвратит операции с необычными данными).


Назад Оглавление Вперёд
Использование Register_Globals ВверхСкрытие PHP