Pagine → 1 2
08/03/2016 03:09:56
Se non avete toccato la "struttura" del gdrcd 3.x/extreme, per tutte le pagine che utilizzano una connessione al database, quindi per tutte quelle che il fatto che il magic_quotes_gpc() disabilitato non fa più in automatico l'escape degli input con conseguenza di aprire una miriade di falle per sql_injection in quel codice, il gdrcd include il file inc/open2.php dove viene instanziata la connessione al database. Un possibile fix veloce temporaneo può essere agire li lavorare gli array $_GET, $_POST, $_SESSION per far si che venga fatto l'escape in automatico dei caratteri.
N.B.: il suggerimento vuole essere un veloce TEMPORANEO fix per chiudere tutte le possibili falle di sicurezza in un colpo solo.
Il metodo più veloce che mi viene in mente per farlo è usare la funzione array_map() http://php.net/manual/en/function.array-map.php di php per i tre array citati in una maniera simile a questa:
08/03/2016 17:00:45
Forse è meglio evitare di maneggiare $_SESSION, tanto non sono dati che vanno a vengono dal client e rischi di corrompere i dati facendo l'escape a ogni richiesta.
Dovreste modificare solo $_GET, $_POST e $_COOKIE che sono i dati che vengono trasmessi dal client ogni volta.
08/03/2016 19:54:22 e modificato da miagy il 08/03/2016 19:55:38
Discussione seguita da
Pagine → 1 2
Rispondi alla Discussione Aggiungi ai Preferiti Inoltra Discussione Forum Programmazione, GDRCD e Open Source Elenco Forum
NosTale: Manutenzione Terra della Vita