- IP-спуфинг - вопрос по безопасности, PavelR, 17:59 , 27-Окт-12 (1)
> приветствую > если я возьму в оборот переменную $ip = $ENV{'REMOTE_ADDR'}; > и не проверю, то могут ли мне подсунуть некий код вместо IP, > который вскроет скрипт?в общем случае - нет.
- IP-спуфинг - вопрос по безопасности, greenwar, 18:03 , 27-Окт-12 (2)
>> приветствую >> если я возьму в оборот переменную $ip = $ENV{'REMOTE_ADDR'}; >> и не проверю, то могут ли мне подсунуть некий код вместо IP, >> который вскроет скрипт? > в общем случае - нет.меня интересуют все случаи
- IP-спуфинг - вопрос по безопасности, Etch, 06:51 , 28-Окт-12 (3)
Это значение формирует апач (или что там у вас) из данных tcp/ip стека ОС, если вы им обоим доверяете, то проверять смысла нет, а если не доверяете, то ваш скрипт и так в опасности. Только имейте ввиду, что там может оказаться как IPv4, так и IPv6, так что проверять всё-равно наверное понадобится...
- IP-спуфинг - вопрос по безопасности, greenwar, 11:33 , 28-Окт-12 (4)
> Это значение формирует апач (или что там у вас) из данных tcp/ip > стека ОС, если вы им обоим доверяете, то проверять смысла нет, > а если не доверяете, то ваш скрипт и так в опасности. > Только имейте ввиду, что там может оказаться как IPv4, так и > IPv6, так что проверять всё-равно наверное понадобится...так "нет смысла" или "понадобится" ? почему понадобится то?
- IP-спуфинг - вопрос по безопасности, Etch, 17:05 , 28-Окт-12 (5)
> так "нет смысла" или "понадобится" ? > почему понадобится то?Зависит от того, что вы делаете потом с этим адресом. Если просто складываете в базу в текстовом виде, то проверять не надо - надо только размер поля в базе увеличить до такого, чтобы весь IPv6 в него помещался. А если ещё какие-то манипуляции с ним производите (или храните в базе не в текстовом формате), то тут вам виднее надо ли его проверять и как именно.
- IP-спуфинг - вопрос по безопасности, greenwar, 17:12 , 28-Окт-12 (6)
>> так "нет смысла" или "понадобится" ? >> почему понадобится то? > Зависит от того, что вы делаете потом с этим адресом. Если просто > складываете в базу в текстовом виде, то проверять не надо - > надо только размер поля в базе увеличить до такого, чтобы весь > IPv6 в него помещался. А если ещё какие-то манипуляции с ним > производите (или храните в базе не в текстовом формате), то тут > вам виднее надо ли его проверять и как именно.вообще-то вопрос был: могут ли мне подсунуть опасный код вместо IP? как я могу быть уверен, что там текстовый вид, без проверки? а "складывать в базу", что-либо, без проверок это вообще ахтунг. проверку я делаю строгую, но простую ipv4 должен выглядеть, как (1-3 цифры, точка) повторить 3 раза и ещё раз 1-3 цифры у меня вопрос возник: - а не параноик ли я? пока что толком никто не знает, насколько я понял.
|