- IP-спуфинг - вопрос по безопасности,
 PavelR, 17:59 , 27-Окт-12 (1)> приветствую
> если я возьму в оборот переменную $ip = $ENV{'REMOTE_ADDR'};
> и не проверю, то могут ли мне подсунуть некий код вместо IP,
> который вскроет скрипт?в общем случае - нет.
- IP-спуфинг - вопрос по безопасности, greenwar, 18:03 , 27-Окт-12 (2)
>> приветствую
>> если я возьму в оборот переменную $ip = $ENV{'REMOTE_ADDR'};
>> и не проверю, то могут ли мне подсунуть некий код вместо IP,
>> который вскроет скрипт?
> в общем случае - нет.меня интересуют все случаи
- IP-спуфинг - вопрос по безопасности, Etch, 06:51 , 28-Окт-12 (3)
Это значение формирует апач (или что там у вас) из данных tcp/ip стека ОС, если вы им обоим доверяете, то проверять смысла нет, а если не доверяете, то ваш скрипт и так в опасности. Только имейте ввиду, что там может оказаться как IPv4, так и IPv6, так что проверять всё-равно наверное понадобится...
- IP-спуфинг - вопрос по безопасности, greenwar, 11:33 , 28-Окт-12 (4)
> Это значение формирует апач (или что там у вас) из данных tcp/ip
> стека ОС, если вы им обоим доверяете, то проверять смысла нет,
> а если не доверяете, то ваш скрипт и так в опасности.
> Только имейте ввиду, что там может оказаться как IPv4, так и
> IPv6, так что проверять всё-равно наверное понадобится...так "нет смысла" или "понадобится" ?
почему понадобится то?
- IP-спуфинг - вопрос по безопасности, Etch, 17:05 , 28-Окт-12 (5)
> так "нет смысла" или "понадобится" ?
> почему понадобится то?Зависит от того, что вы делаете потом с этим адресом. Если просто складываете в базу в текстовом виде, то проверять не надо - надо только размер поля в базе увеличить до такого, чтобы весь IPv6 в него помещался. А если ещё какие-то манипуляции с ним производите (или храните в базе не в текстовом формате), то тут вам виднее надо ли его проверять и как именно.
- IP-спуфинг - вопрос по безопасности, greenwar, 17:12 , 28-Окт-12 (6)
>> так "нет смысла" или "понадобится" ?
>> почему понадобится то?
> Зависит от того, что вы делаете потом с этим адресом. Если просто
> складываете в базу в текстовом виде, то проверять не надо -
> надо только размер поля в базе увеличить до такого, чтобы весь
> IPv6 в него помещался. А если ещё какие-то манипуляции с ним
> производите (или храните в базе не в текстовом формате), то тут
> вам виднее надо ли его проверять и как именно.вообще-то вопрос был: могут ли мне подсунуть опасный код вместо IP?
как я могу быть уверен, что там текстовый вид, без проверки?
а "складывать в базу", что-либо, без проверок это вообще ахтунг.
проверку я делаю строгую, но простую
ipv4 должен выглядеть, как (1-3 цифры, точка) повторить 3 раза и ещё раз 1-3 цифры
у меня вопрос возник: - а не параноик ли я?
пока что толком никто не знает, насколько я понял.
|
Версия для распечатки
IP-спуфинг - вопрос по безопасности, 
