Возмозна атака через REQUEST COOKIES ?

@koza4ok · Регистрация: 19.09.2012

Студворк — интернет-сервис помощи студентам

привет.
В массиве REQUEST может содержатся Get, Post, Cookie.
Контролируется это директивами variables_order,request_order
request_order = "GPCS"

Может ли поступить установка cookie с именем что и оправленное поле через форму как средство возможной атаки?
Как известно куки можно подменить.

Получается что использование REQUEST c GPC это прямой путь к атаке?

Если атака возможна помогите примером....
Данная тема не является целью взломать кого - либо...,просьба не закрывать тему

Добавлено через 5 минут
Чтобы имитировать атаку создал такой код:

index.php

PHP
1
setcookie('test', 'test')

HTML5
1
2
3
4
<form action="p.php" method="POST" id="forma1">
    <input type="text" name="test" >
<input type="submit" name="submit" value="OK">
</form>

p.php

PHP
1
var_dump($_REQUEST);

Подстановка куки не проходит...
request_order = "CSGP"

@AndreyDyakonov · 24.09.2013, 19:07

где то читал, что вместо REQUEST лучше использовать конкретно то что нужно get или post.. хотя чем лучше, не помню. книжка старая была. И настройки серверов тоже старые были.. имхо никто вас через куки не поломает, ломают троянами вместе с дураками-пользователями и и дураками-админами.. против дураков-** вы бессильны.

@koza4ok · 24.09.2013, 19:18 **[ТС]**

Сообщение от AndreyDyakonov

где то читал, что вместо REQUEST лучше использовать конкретно то что нужно get или post..

Я также это читал.
Чем больше знать атак, тем лучше поставиш защиту....

Новые блоги и статьи Все статьи Все блоги /
Установка Emscripten SDK (emsdk) и CMake на Windows для сборки C и C++ приложений в WebAssembly (Wasm) 8Observer8 30.01.2026 Чтобы скачать Emscripten SDK (emsdk) необходимо сначало скачать и уставить Git: Install for Windows. Следуйте стандартной процедуре установки Git через установщик. Система контроля версиями Git. . .	Подключение Box2D v3 к SDL3 для Android: физика и отрисовка коллайдеров 8Observer8 29.01.2026 Содержание блога Box2D - это библиотека для 2D физики для анимаций и игр. С её помощью можно определять были ли коллизии между конкретными объектами. Версия v3 была полностью переписана на Си, в. . .	Инструменты COM: Сохранение данный из VARIANT в файл и загрузка из файла в VARIANT bedvit 28.01.2026 Сохранение базовых типов COM и массивов (одномерных или двухмерных) любой вложенности (деревья) в файл, с возможностью выбора алгоритмов сжатия и шифрования. Часть библиотеки BedvitCOM Использованы. . .	Загрузка PNG с альфа-каналом на SDL3 для Android: с помощью SDL_LoadPNG (без SDL3_image) 8Observer8 28.01.2026 Содержание блога SDL3 имеет собственные средства для загрузки и отображения PNG-файлов с альфа-каналом и базовой работы с ними. В этой инструкции используется функция SDL_LoadPNG(), которая. . .
Загрузка PNG с альфа-каналом на SDL3 для Android: с помощью SDL3_image 8Observer8 27.01.2026 Содержание блога SDL3_image - это библиотека для загрузки и работы с изображениями. Эта пошаговая инструкция покажет, как загрузить и вывести на экран смартфона картинку с альфа-каналом, то есть с. . .	Влияние грибов на сукцессию anaschu 26.01.2026 Бифуркационные изменения массы гриба происходят тогда, когда мы уменьшаем массу компоста в 10 раз, а скорость прироста биомассы уменьшаем в три раза. Скорость прироста биомассы может уменьшаться за. . .	Воспроизведение звукового файла с помощью SDL3_mixer при касании экрана Android 8Observer8 26.01.2026 Содержание блога SDL3_mixer - это библиотека я для воспроизведения аудио. В отличие от инструкции по добавлению текста код по проигрыванию звука уже содержится в шаблоне примера. Нужно только. . .	Установка Android SDK, NDK, JDK, CMake и т.д. 8Observer8 25.01.2026 Содержание блога Перейдите по ссылке: https:/ / developer. android. com/ studio и в самом низу страницы кликните по архиву "commandlinetools-win-xxxxxx_latest. zip" Извлеките архив и вы увидите. . .

@AndreyDyakonov 122 / 120 / 7 Регистрация: 21.04.2013 Сообщений: 615
	24.09.2013, 19:07
	где то читал, что вместо REQUEST лучше использовать конкретно то что нужно get или post.. хотя чем лучше, не помню. книжка старая была. И настройки серверов тоже старые были.. имхо никто вас через куки не поломает, ломают троянами вместе с дураками-пользователями и и дураками-админами.. против дураков-** вы бессильны. 1