URL rewriting

Tags:    php

Hej,

I er sikkert alle bekendt med problemer ved en URL som denne:
http://mypage/showProduct.php?id=123

Den er temmelig nem at hacke med en frontdoor-attack...

Hvordan får jeg den omskrevet i PHP til eksempelvis flg. URL:
http://mypage/products/123 (= http://mypage/showProduct.php?id=123) ?


/Daniel
www.theemann.dk

[Redigeret d. 23/06-05 17:25:37 af Daniel [dkt]]



8 svar postet i denne tråd vises herunder
2 indlæg har modtaget i alt 4 karma
Sorter efter stemmer Sorter efter dato
Dette kan gøres med .htaccess:

RewriteEngine On
RewriteBase /
RewriteCond %{REQUEST_FILENAME} !-F
RewriteRule /registrer/ /index.php?id=opret
RewriteRule /horoskop/ /index.php?id=testing

Dette gemmer jeg så i en .htaccess og ligger den ind i den mappe hvor der skal forekomme rewriting. Hos mig er det bare ved roden ved ikke om du kan bruge det til noget

[Redigeret d. 23/06-05 18:28:23 af Peter]



Nu spørger jeg måske dumt men er ikke så meget inde i sikkerhed og sådan. Hvordan ville en person kunne hacke din side når man bruger ?id? og i så fald hvad ville han få ud af det?

Hvis man henter siden fra en database kan hackeren se alle sider ved bare at ændre ?id=1 til fx. ?id=5
En anden ting kunne være hvis personen som har lavet siden, ikke har sat en ' eller " ind i sin SQL sætning, så kan hackeren sende alle mulige SQL sætninger til serveren
På den måde kan en hacker slette ALT!
Men lad være med at prøve det, det er bare synd for personen som har lavet siden!

Hilsen
Jan S.

[Redigeret d. 23/06-05 21:09:28 af Jan S.]


Hvis jeg nu tager udgangspunkt i det aktuelle spørgsmål

http://mypage/showProduct.php?id=123

her kan jeg ændre 123 til et andet id

http://mypage/products/123

men hvad skulle fohindre mig ved at ændre her?

-Thomas

**************************************
Hvis mennesker er så kloge, hvorfor ødelægger
vi så os selv og den verden vil lever i?
**************************************
I mod softwarer patenter
http://www.nosoftwarepatents.com/







Wrong

[Redigeret d. 23/06-05 18:26:57 af Peter]



Nu spørger jeg måske dumt men er ikke så meget inde i sikkerhed og sådan. Hvordan ville en person kunne hacke din side når man bruger ?id? og i så fald hvad ville han få ud af det?



Nu spørger jeg måske dumt men er ikke så meget inde i sikkerhed og sådan. Hvordan ville en person kunne hacke din side når man bruger ?id? og i så fald hvad ville han få ud af det?

Hvis man henter siden fra en database kan hackeren se alle sider ved bare at ændre ?id=1 til fx. ?id=5
En anden ting kunne være hvis personen som har lavet siden, ikke har sat en ' eller " ind i sin SQL sætning, så kan hackeren sende alle mulige SQL sætninger til serveren
På den måde kan en hacker slette ALT!
Men lad være med at prøve det, det er bare synd for personen som har lavet siden!

Hilsen
Jan S.

[Redigeret d. 23/06-05 21:09:28 af Jan S.]



Jeg ville da også mene at selvom der er risikoer ved at bruge ?id metoden så er det da risikoer som man kan eliminere ved brug af meget få liniers kode og som sagt ville den anden metode vel indebære de samme risikoer. Eller hvad?



Jeg ville da også mene at selvom der er risikoer ved at bruge ?id metoden så er det da risikoer som man kan eliminere ved brug af meget få liniers kode og som sagt ville den anden metode vel indebære de samme risikoer. Eller hvad?


Ja okay risiko og risiko, men en ting er sikkert med den revideret URL vil det være nemmere for søgemaskiner som Google at finde min posts...

I så fald kunne man jo bare lave en url, som ligger fjernt fra den oprindelig fil og derved øge sikkerheden.

/Daniel
www.theemann.dk



Jeg tror ikke du skal regne med at det øger sikkerheden, det eneste det giver er mere læselige urls



t