Можно ли взломать черз POST?

Question

[dvomaks]

Недавно увидел у знакомого вот такой код:

$url = 'http://blabla.com/?id='.(array_key_exists('id', $_POST) ? $_POST["id"] : '').';
    $otvet = json_decode(file_get_contents($url), true);
    if($otvet['error'] == 'no'){
      ...
    }

Сразу бросилось в глаза что нет обработки входящих пост данных. Указав на эту ошибку в безопасности получил ответ "всё там норм, наведи пример взлома".
Возможен ли взлом? Или хотя бы не взлом, а подмена урл, или другие варианты нарушения работы скрипта.
Мне ничего в голову так и не пришло.

Answer 1

[Александр Латышев]

Смотреть надо не в этот кусок кода, т.к. здесь просто пробрасывается параметр id в запрос, вызываемый функцией file_get_contents.
А смотреть надо туда, где на ресурсе blabla.com обрабатывается запрос $url: есть там или нет обработка входящих данных.
В общем смотрите что такое SQL injection

Comments

[dvomaks]

Вы наверное не правильно поняли суть вопроса. Спрашивалось про пост запрос и работу конкретного скрипта, а не про блабла сайт. Допустим там вообще не обрабатываются гет переменные , а просто отдаётся статический json. Можно ли отправив что-то постом, нарушить работу скрипта и подменить значение $otvet['error']?

[Александр Латышев]

dvomaks: В такой постановке вопроса Вам ничего не грозит :)

[dvomaks]

То есть всё таки он прав? Придётся ставить пиво, проспорил.

[Saboteur]

dvomaks: ну а что такого может испортить то, что в массив попадет странная информация? Пока ее никто не обрабатывает ничем, ничего она не сможет сделать.
Вам же верно сказали, что надо смотреть где оно применяется, и чаще всего это в виде sql/exec injection

[dvomaks]

Ну а кто спорит что не верно, просто вопрос был задан конкретный, вы же наверное программист и должны понимать что конкретный вопрос требует конкретного ответа.
А теперь вчитайтесь внимательно, я спрашивал для конкретного примера. В коде видно где оно применяется, что ещё вам нужно?

Answer 2

[neol]

Конкретно в этом примере вполне вероятно получить отказ в обслуживании на первом школьнике, решившем просканировать сайт с помощью nessus. Но даже если до этого не дойдет ( в смысле до отказа в обслуживании, школьники-то не заставят себя долго ждать), то получится пустая трата ресурсов на обработку соединений и со стороны данного приложения, и со стороны blabla.com. Вряд ли это можно назвать страшной уязвимостью, но код явно попахивает чем-то неприятным.

Answer 3

[dvomaks]

Однажды мой препод по программированию попросил написать программу которая выведет результат сложения двух чисел 3 и 2. Так вот с заданием никто нормально не справился, все писали типа
х=2
у=3
z=x+y
print z
Все получили неут, а решение было простое print 5. Запомнилось на всю жизнь.
Вот и здесь примерно то же. Задал вопрос, и в ответ куча лишней информации, 80% которой не относится к сути вопроса.

Comments

[Александр Латышев]

Сожалею, но мне кажется, что Ваш препод самодур, т.к.:
1. любую задачу можно реализовать разными способами
2. условие задачи запутано (не корректно сформулировано) - упомянуто сложение двух чисел, когда требовалось вывести только одно конкретное число (он бы ещё предложил вывести сумму решений 100500 дифуров :)
3. если ты самодур, то привязаться к решению можно разными способами (например он скажет, что при проверке будет сам вручную вводить числа 3 и 2 и если программа не запрашивает эти числа или не проверяет являются ли они числами 3 и 2 соответственно, то ставит неуд)

[dvomaks]

1. Согласен, но просто это самый оптимальный и быстрый вариант решения который соответствует условию задачи.
2. По моему вы плохо владеете русским языком языком, условие сформулировано как раз конкретней некуда,
"Написать программу которая выводит результат сложения двух чисел 2 и 5"
Какие ещё тут варианты реализации? Есть задача есть решение. Там же указаны конкретных два числа и ничего больше и нужно вывести результат, одно число. Сначала стоит научиться не только читать но и понимать что читаете.
3. Опять же есть конкретное условие, и есть правильное решение, ни про какой ввод чисел или ещё что-то задании не упоминалось. Может стоит взглянуть в свою сторону и поменять закостенелые шаблоны. Ведь вы абсолютно не правы в своих суждениях.