1. Este site usa cookies. Ao continuar a usar este site está a concordar com o nosso uso de cookies. Saber Mais.

Problema com submit de form's em PHP

Discussão em 'Web Development' iniciada por Lancaster, 20 de Setembro de 2006. (Respostas: 2; Visualizações: 732)

  1. Lancaster

    Lancaster To fold or to FOLD?

    Heyas all..

    Hoje tive a fazer o upload de uma página que fiz no bules para um alojamento..

    Comecei por fazer os testes da praxe, testar inser'ts em base de dados e etc's...

    Durante os testes descobri um problema...ao fazer submit de uma form através de POST ( ou GET ), o servidor devolve-me um 403 Forbidden...

    Depois de passar cerca de 2 horas a tentar fazer debug ao script/servidor, lá consegui replicar o erro de forma constante...

    Para replicar o erro basta criar uma form com uma input de tipo text, e um botão de submit, se preenchermos a input com algo do género: "../sd.php" ou apenas "../", o webserver devolve-me o forbidden...

    Qualquer outra string o gajo papa bem, só que com uma string do género "../", lá vai ele à vida..

    Já entrei em contacto com o suporte do alojamento...só que sinceramente...fiquei um pouco desiludido com a 1º respota que me deram...

    No 1º contacto, pediram-me o link no qual isto acontecia, enviei-lhes o link, os gajos abriram e simplesmente respodem que o link está fino, e que não acontece nada :Whatever: , nem se deram ao trabalho de clickar na form para ver o que acontecia...

    Mas pronto pormenores...

    E além disso queria saber se já aconteceu a alguém daqui ou se nem por isso..

    Hasta all e tx [[]]
     
  2. Ricardo Vidal

    Ricardo Vidal Power Member

    Ja tentaste fazer passar o text por uma função qualquer como htmlentities() ou urlencode() ou outro deste estilo? Ou melhor ainda, strip_tags() ?

    Acho que basicamente ao introduzir texto desse estilo, estás a tentar hackar o form sem querer propositadamente :) Por isso, alguns passos de segurança ajudam a tratar desse string que queres passar. E já agora, é preferível passar isso por POST.
     
  3. Lancaster

    Lancaster To fold or to FOLD?

    Heyas all...

    O problema é que nem POST consigo fazer, ou seja quando carrego no botão de submit, ele passa-me logo para a página de forbidden...

    E quando se utiliza o script é mesmo para por um caminho ( "../../sd.php" por exemplo )...

    E uma das coisas que experimentei foi em javascript substituir as barras por %2F (ainda experimentei a encode() do javascript, só que não faz encode da /), e resulta se na form não se puser enctype, só que como eu preciso de enctype para fazer upload de ficheiros... pimba, vai tudo ao ar...

    De qualquer das maneiras o alojamento já me resolveu o problema, ainda lhes perguntei qual era o problema e disseram que era por causa do register_globals estar desligado ( como é suposto estar, pelo que percebi o mais seguro é estar desligado), o giro é que corri o phpinfo(); a seguir de ter recebido o email, e o register_globals está desligado...

    Mas pronto, já trabalha, e vou-lhes mandar outro mail a perguntar o que é que raio fizeram para isto trabalhar, visto que o register_globals está desligado...

    Hasta all e gracias [[]]
     

Partilhar esta Página