[python] python na web - otazky
Tomy novella
tomasnovella na gmail.com
Pondělí Prosinec 10 20:28:15 CET 2007
mtip: diky moc ; toto som presne tym dotazom sledoval :) tym padom vyriesene ;)
jkt:
"Pseudohackerska" mi tedy spis prijde snaha o omezovani podobnych
pokusu. Co tim sledujes?
--> noo ja som len ukazal ako priklad, ze sa MOZE(nato mi uz vsak mtip
odpovedal) miesat GET a POST, ale potom (TOTO som nekontroloval v
manuali, nizsie vysvetlim preco ;-])
ked sa moze miesat GET a POST, tak som si myslel, ze sa moze miesat aj
SESSION a GET(tak isto sa totiz aj MIESA v PHPcku, ked je blbo
nastavena register_globals)-> cize ak mam v sessione ulozene dost
private informacie a nejaky typek si ich len tak edituje tym, ze to
posle cez GET(a PHPcku to je jedno, ze skade ma premennu heslo, ci so
sessionu, alebo z GET-u), tak to cloveka vie dost nasrat :) a to je uz
ovela horsie a tam uz nejde o pseudohackersku snahu zabranenia
niecomu, ale o dost vazne bezpecnostne riziko :)
teraz len strucne(kedze je to strasny OffTopic, ale aby si ma
neukamenoval, tak vysvetlim ;-])k tomu, preco som necital manual, ci
to tak plati aj so sessionmi:
1) len ma zaujimalo, ci ten problem JE aj v pythone, ziadne detaily z manualu
2) este som sa k sessionom nedostal(citam pomalicky cele to APIcko a
nepreskakujem ;-])
3) radsej sa spytam len pre zaujimavost nieco kratucke, na co sa
odpoveda len "ANO" alebo "NIE" ako citat a prekladat si dlhy manual v
ktorom to ani nieje spomenute(kontroloval som, NIE JE) a nemohol som
si tuto moju teoriu overit, pretoze som v dobe pisania dotazu este s
nimi robit nevedel
ale kazdopadne neboj, na co sa neda odpovedat len "ANO/NIE", a je to
dolezitejsie a nemam dany manual, tak to poctivo studujem a
nevypytujem sa na to :) dufam, ze ta otazka "lidi" velmi "nenasrala"
;)
2007/12/10, mtip <mtip na atlas.cz>:
> Tn> noo ani ja v tom nevidim pre autora kodu logiku, aby kombinoval
> Tn> odosielanie cez GET a POST zaroven, ale napriklad nejake decko,
> Tn> ktoremu by sa nechcelo odosielat nejake data cez POST, aby si to
> Tn> neskracovalo na GET (narazam tym na pseudohackerov, ktori maju chut
> Tn> stale do niecoho sprtat ;-]) a napriklad v PHP su krasne polia $_GET a
> Tn> $_POST, ktore to pekne cele filtruju, takze nemoze k ziadnej kolizii
> Tn> mien premennych dojst.
> Tn> (s tym suvisi aj ten znamy problem s register_globals)... taktiez
> Tn> (este smo tolko neprestudoval z mod_pythonu, takze ma neodkazujte na
> Tn> manual) napriklad ked sa nerozlisuje, ze skade ktora premenna dosla
> Tn> moze sa v PHP stat, ze hodnotu nejakeho sessionu si clovek jednoducho
> Tn> posle cez GET a to uz JE vazne bezpecnostne riziko... ako som pisal,
> Tn> neviem ci k tomu moze dojst aj v pythone(napiste, ci ano, alebo nie)
> Tak jsem to zkusil, a pokud použiju metodu POST přečte se jen POST a
> pokud GET čte se jen GET. Tj. nemicha se to.
>
> Tn> ale aj takmi tie polia chybaju a basta ;)
> Ja jsem zase uvital, ze mam jeden slovnik a nemusim shanet promenne pri
> zmene metody formulare. Pripada mi to jako vyhoda.
>
>
>
>
>
> ---------------------------------------------------------------------------
>
>
>
> --
> Mirek N.
> http://www.unosoft.cz/
>
> _______________________________________________
> Python mailing list
> Python na py.cz
> http://www.py.cz/mailman/listinfo/python
>
--
PS: prosim v mailoch tykat! nie vykat ;)
Tom na sQo
tomasnovella na gmail.com
Další informace o konferenci Python