From mboxrd@z Thu Jan  1 00:00:00 1970
Return-Path: <den@academ.org>
Content-Type: text/plain;
  charset="koi8-r"
From: "Denis S. Filimonov" <den@academ.org>
To: community@altlinux.ru
Subject: Re: [Comm] =?koi8-r?b?98/Q0s/TINDSzyBBcGFjaGUgySBBcHBsaWNhdGlvbiBQcm94eQ==?= (=?koi8-r?b?xM/Qz8zOxc7JxQ==?=)
Date: Sun, 2 Feb 2003 04:20:31 +0600
User-Agent: KMail/1.4.3
References: <20030201124117.3e845e51.shurik2k@hotbox.ru> <20030201201335.0411b19e.dima@sakhalin.ru> <20030202011120.3420606a.shurik2k@hotbox.ru>
In-Reply-To: <20030202011120.3420606a.shurik2k@hotbox.ru>
MIME-Version: 1.0
Content-Transfer-Encoding: 8bit
Message-Id: <200302020420.31050.den@academ.org>
Sender: community-admin@altlinux.ru
Errors-To: community-admin@altlinux.ru
X-BeenThere: community@altlinux.ru
X-Mailman-Version: 2.0.9
Precedence: bulk
Reply-To: community@altlinux.ru
List-Unsubscribe: <http://www.altlinux.ru/mailman/listinfo/community>,
	<mailto:community-request@altlinux.ru?subject=unsubscribe>
List-Id: <community.altlinux.ru>
List-Post: <mailto:community@altlinux.ru>
List-Help: <mailto:community-request@altlinux.ru?subject=help>
List-Subscribe: <http://www.altlinux.ru/mailman/listinfo/community>,
	<mailto:community-request@altlinux.ru?subject=subscribe>
List-Archive: <http://www.altlinux.ru/pipermail/community/>
Archived-At: <http://lore.altlinux.org/community/200302020420.31050.den@academ.org/>
List-Archive: <http://lore.altlinux.org/community/>
List-Post: <mailto:mandrake-russian@linuxteam.iplabs.ru>

2 Февраль 2003 04:11, Alexander Kharkov написал:
> тут мне необходимо добавить что требуется в точки зрения защиты.....
>
> вопрос не в том сможет или не сможет злоумышленник завалить апач (как
> говорит ождна моя знакомая "что упало то поднимем" :-))
>
> суть в другом, значит описываю ситуацию
>
> есть http форма, на ней поле ввода в нем казано ограничение на длину
> скажем в 30 символов.
> кулхацкер берет енту форму подправляет ее у себя (разные способы есть
> - не суть в данном случае важна)
> и засылает не 30 символов на скажем  30 килобайт символов, не может
> ли это вызвать выполнение нежелательного кода на сервере????
>
> в общем то это будет Web-система с запросами к Oracle-евой СУБД
> (естественно находящейся на другой машине) проблема в том, что в базе
> хранится конфеденциаьная информация, которую левому народу вообщем то
> видеть совсем не обязательно...
>
> хотелось бы услышать опытных людей, как лучше защитить все это дело,
> как это реально делается, потому как опыта ноль - а делать надо :-(((
>
> в дополнение - сайт будет писаться на PHP
>
Совет простой до банальности: не доверять никаким данным прилетевшим из 
формы. Проверки в html и javascript исключительно делаются для удобства 
пользователя.