Problema com submit de form's em PHP

Lancaster

Lancaster

To fold or to FOLD?
Heyas all..

Hoje tive a fazer o upload de uma página que fiz no bules para um alojamento..

Comecei por fazer os testes da praxe, testar inser'ts em base de dados e etc's...

Durante os testes descobri um problema...ao fazer submit de uma form através de POST ( ou GET ), o servidor devolve-me um 403 Forbidden...

Depois de passar cerca de 2 horas a tentar fazer debug ao script/servidor, lá consegui replicar o erro de forma constante...

Para replicar o erro basta criar uma form com uma input de tipo text, e um botão de submit, se preenchermos a input com algo do género: "../sd.php" ou apenas "../", o webserver devolve-me o forbidden...

Qualquer outra string o gajo papa bem, só que com uma string do género "../", lá vai ele à vida..

Já entrei em contacto com o suporte do alojamento...só que sinceramente...fiquei um pouco desiludido com a 1º respota que me deram...

No 1º contacto, pediram-me o link no qual isto acontecia, enviei-lhes o link, os gajos abriram e simplesmente respodem que o link está fino, e que não acontece nada :Whatever: , nem se deram ao trabalho de clickar na form para ver o que acontecia...

Mas pronto pormenores...

E além disso queria saber se já aconteceu a alguém daqui ou se nem por isso..

Hasta all e tx [[]]
 
Ja tentaste fazer passar o text por uma função qualquer como htmlentities() ou urlencode() ou outro deste estilo? Ou melhor ainda, strip_tags() ?

Acho que basicamente ao introduzir texto desse estilo, estás a tentar hackar o form sem querer propositadamente :) Por isso, alguns passos de segurança ajudam a tratar desse string que queres passar. E já agora, é preferível passar isso por POST.
 
Heyas all...

Ricardo Vidal disse:
Ja tentaste fazer passar o text por uma função qualquer como htmlentities() ou urlencode() ou outro deste estilo? Ou melhor ainda, strip_tags() ?

Acho que basicamente ao introduzir texto desse estilo, estás a tentar hackar o form sem querer propositadamente :) Por isso, alguns passos de segurança ajudam a tratar desse string que queres passar. E já agora, é preferível passar isso por POST.
Clicar para expandir...

O problema é que nem POST consigo fazer, ou seja quando carrego no botão de submit, ele passa-me logo para a página de forbidden...

E quando se utiliza o script é mesmo para por um caminho ( "../../sd.php" por exemplo )...

E uma das coisas que experimentei foi em javascript substituir as barras por %2F (ainda experimentei a encode() do javascript, só que não faz encode da /), e resulta se na form não se puser enctype, só que como eu preciso de enctype para fazer upload de ficheiros... pimba, vai tudo ao ar...

De qualquer das maneiras o alojamento já me resolveu o problema, ainda lhes perguntei qual era o problema e disseram que era por causa do register_globals estar desligado ( como é suposto estar, pelo que percebi o mais seguro é estar desligado), o giro é que corri o phpinfo(); a seguir de ter recebido o email, e o register_globals está desligado...

Mas pronto, já trabalha, e vou-lhes mandar outro mail a perguntar o que é que raio fizeram para isto trabalhar, visto que o register_globals está desligado...

Hasta all e gracias [[]]
 
Inicie sessão ou registe-se para poder participar.
Back
Topo