5
Bazı klasik ASP kodlarında ve bazı PHP'de eşzamanlı olarak bazı süper rahatsız edici kodlar buldum.Güvenlik: Kullanıcıların oturum değişkenlerini adlandırabilmeleri için yanlış olan ne olabilir?
Klasik ASP:
Dim id
id = request.form("id")
Session(id) = id
PHP Yani
$_SESSION[$_GET["id"]] = $_GET["id"];
, yanlış burada ne çıkabilir ki? Açıkçası, bunları kaldıracağım ve daha iyi bir iş akışı kullanacağım.
DÜZENLEME: Açık olan problemler SQLi, XSS, varolan ve gerekli oturum değişkenlerinin üzerine yazılabilir. Bu dillerin oturum değişkenlerini nasıl ele aldığının iç işleyişini gerçekten bilmiyorum.
DÜZENLEME 2: Oturum değişkeninin değerleriyle gerçekten ilgilenmiyorum, onlara ad verebilme konusunda endişeliyim. Sadece rasgele değişken isimleri ile yapabileceğiniz bir şey varsa merak ediyorum.
Eğer '$ _SESSION ile sonradan ne bağlı :-) bir milyon diğer olası şeyler varken [$ _ GET [ "id"]]' .... eğer bunu tekrarlarsanız, ve "gibi bir şey içeriyorsa. Geri kalanını hayal gücünüze bırakıyorum –
Oturum içeriği kesinlikle XSS, SQLi ve diğer kötü amaçlı giriş sanitizasyon istismarları için kullanılabilir. Birisinin kodunda kendi değişkenlerinizi isimlendirebilme yeteneği ile neler yapabileceğinizi merak ediyorum. – TheMonarch