作者 主題: 關於網址列後所帶參數如xxx.php?no=1000  (閱讀 5352 次)

0 會員 與 1 訪客 正在閱讀本文。

godisgood

  • 憂鬱的高中生
  • ***
  • 文章數: 180
    • 檢視個人資料
後面的參數如何讓人可以
不要修改嗎 , 有人手就很
奇怪 , 愛改東改西 , 好像
故意在側什麼一樣 , 有什麼
好方法防止呢 , 因為我是用
is_int的但好像又怪怪的
不知有沒有其他人有看法

twu2

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 5401
  • 性別: 男
    • 檢視個人資料
    • http://blog.teatime.com.tw/1
關於網址列後所帶參數如xxx.php?no=1000
« 回覆 #1 於: 2006-10-24 08:58 »
沒有不能改的.
server 端本來就應該檢查任何使用者端傳入的資料. 如果這邊有做好, 別人怎麼改有什麼差別嗎?

godisgood

  • 憂鬱的高中生
  • ***
  • 文章數: 180
    • 檢視個人資料
關於網址列後所帶參數如xxx.php?no=1000
« 回覆 #2 於: 2006-10-24 10:17 »
請問這部份我該用什麼處理呢
會比較好呢

Yamaka

  • 俺是博士!
  • *****
  • 文章數: 4913
    • 檢視個人資料
    • http://www.ecmagic.com
Re: 關於網址列後所帶參數如xxx.php?no=1000
« 回覆 #3 於: 2006-10-24 10:29 »
引述: "godisgood"
後面的參數如何讓人可以
不要修改嗎 , 有人手就很
奇怪 , 愛改東改西 , 好像
故意在側什麼一樣 , 有什麼
好方法防止呢 , 因為我是用
is_int的但好像又怪怪的
不知有沒有其他人有看法


可以降低改的機率, 例如將參數值用 Base64 或其他方式編碼...  :wink:

oscars80

  • 憂鬱的高中生
  • ***
  • 文章數: 92
    • 檢視個人資料
關於網址列後所帶參數如xxx.php?no=1000
« 回覆 #4 於: 2006-10-24 10:31 »
引述: "godisgood"
請問這部份我該用什麼處理呢
會比較好呢


1.不用這種傳值方式,改成用form

如果真的需要用:

1.限定使用的範圍大小

2.用base64 encode / decode來做部份的編碼以及檢查
  細節請參考
http://tw2.php.net/manual/en/function.base64-encode.php
http://tw2.php.net/manual/en/function.base64-decode.php

FIEND

  • 鑽研的研究生
  • *****
  • 文章數: 700
    • 檢視個人資料
    • http://bbs.ecstart.com
關於網址列後所帶參數如xxx.php?no=1000
« 回覆 #5 於: 2006-10-26 10:49 »
引述: "oscars80"
引述: "godisgood"
請問這部份我該用什麼處理呢
會比較好呢


1.不用這種傳值方式,改成用form

如果真的需要用:

1.限定使用的範圍大小

2.用base64 encode / decode來做部份的編碼以及檢查
  細節請參考
http://tw2.php.net/manual/en/function.base64-encode.php
http://tw2.php.net/manual/en/function.base64-decode.php



補充一下 :

你可以多看一些 有關 sql inject 的資料..



1.不用這種傳值方式,改成用form :

    api 帶 get 跟 form 有什麼關係 而且 form 也可以帶 get .

2. 限定使用的範圍大小 .

    YES .

3.用base64 encode / decode來做部份的編碼以及檢查

   firefox 的 get 長度 限制是 4k ie 的話是 2k , 字串長一點用 base64 一定出事 ..
你累了嗎? 這樣不行 , 人要比 LINUX 兇 @@ " ......