| Autor | Zpráva | ||
|---|---|---|---|
| tachov Profil |
#1 · Zasláno: 19. 4. 2015, 15:14:05
Zdarvím potřeboval bych moct s Radio-button..
<input type="radio" name="cena" value= "1" > <b>poštou</b> ( 60kč - dodání 3-5 dní. )<p> <input type="radio" name="cena" value= "2" ><b>kurýrem</b> ( 90kč - dodání 1-2 dní. )<p> <input type="radio" name="cena" value= "3" ><b>osobně</b> ( 0kč )<p> potřeboval bych měnit hodnotu proměnné aby : $cena = 50; $cena = 60; $cena = 0; jak na to? jsem s radiem úplný amatér. |
||
| juriad_ Profil * |
#2 · Zasláno: 19. 4. 2015, 15:20:13
tachov:
Tak zmen value 1, 2, 3 na 50, 60 a 0. |
||
| tachov Profil |
#3 · Zasláno: 19. 4. 2015, 15:27:52
juriad:
to sem taky zkoušel ale nefunguje to... potřebuju to vsadit sem if(isset($_SESSION["products"]))
{
$total = 0;
echo '<ol>';
foreach ($_SESSION["products"] as $cart_itm)
{
echo '<li class="cart-itm">';
echo '<h3>'.$cart_itm["name"].'</h3>';
echo '<div class="p-code">Kód produktu : '.$cart_itm["code"].'</div>';
echo '<div class="p-qty">ks : '.$cart_itm["qty"].'</div>';
echo '<div class="p-price">Cena/ks :'.$cart_itm["price"].'Kč</div>';
echo '</li>';
$subtotal = ($cart_itm["price"]*$cart_itm["qty"]);
$total = ($total + $subtotal);
}
$totals = ($total + $cena);
echo '<span class="empty-cart"><p></span>';
echo '<div class="p-prices">Doručení :'.$cena.'Kč</div>';
echo '<span class="check-out-txt"><strong>Celkem :'.$totals.' Kč</strong><p></span>';
}else{
echo 'Košik je prázdný';
} |
||
| tachov Profil |
#4 · Zasláno: 20. 4. 2015, 08:50:53
to opravu žádná pomoc?
|
||
| Taps Profil |
#5 · Zasláno: 20. 4. 2015, 09:02:33
tachov:
jak vypadá kompletně tvůj skript? |
||
| juriad Profil |
tachov:
Zřejmě se snažíš vytvořit e-shop, ale neznáš PHP na takové úrovni, abys toho byl schopný. Podle [#3] neumíš pořádně ani HTML. Nechci ani domýšlet, jakých chyb ses dopustil. Bude-li někde nasazen, buď si vědom, že za chyby se platí. Ideálně si v SESSION vytvoříš další chlívek cena_dopravy, který bude nabývat hodnot 1, 2, 3. Toto bude zároveň indexem do pole cen dopravy:
$cena = $ceny_dopravy[$_SESSION['cena_dopravy']]; Do $_SESSION si cenu zapíšeš stejným způsobem, jakým tak ukládáš produkty.
To, co jsem napsal v [#2] se týká pouze jednodušších případů, kdy se objednávka nikam nemusí ukládat; můžeš to ignorovat. |
||
| tachov Profil |
#7 · Zasláno: 20. 4. 2015, 11:09:10 · Upravil/a: tachov
juriad:
už jsem to pořešil musel jsem to udělat přes formulář jinak bych musel sáhnout do JAVA ..v čemž neumim ani řádek. .. ale dík učím se programovat stránky teprve měsíc a pul. Na ta krátkou dobu si myslím že umím dost a s každou pomocí se učím víc . |
||
| Keeehi Profil |
#8 · Zasláno: 20. 4. 2015, 16:17:34
tachov:
To že se učíš je správné. Jestli je však tvoje práce někde dostupná z internetu tak můžeš mít problémy. Nějaká bezpečnostní chyba která se dá u začátečníka velmi pravděpodobně očekávat může způsobit i finanční škodu. Zejména u eShop u kde se pracuje s citlivými údaji to klidně může být v řádech milionů. |
||
| tachov Profil |
#9 · Zasláno: 20. 4. 2015, 22:35:27
Keeehi:
samozřejmě to na internet mám ale stránka není ani nijak dohledatelná pokud nezná nikdo přímo její adresu ...je to pouze testovací stránka pro mě a zabezpečení je opravdu minimální ostatně můžete zkusit sami...http://webdesigner.funsite.cz pro zobrazení eshopu se stačí registrovat |
||
| tachov Profil |
nj to se zase někdo předvedl .... někdo kdo umí pokazit snahu =)
šikovný ... přes chat :D ... ani na banování ip adresy se nedostanu :D |
||
| Keeehi Profil |
#11 · Zasláno: 21. 4. 2015, 05:24:10
tachov:
Nic jsem nekazil. Veškeré testy byly nedestruktivní. I když nepochybuji o tom, že tam je způsob jak provést destruktivní útok. „přes chat“ Problém není jen v chatu ale třeba i v profilu. Web trpí na permanentní XSS. Navíc na velmi frekventovaných místech. V souvislosti se špatným zabezpečením session cookie je možné je krást. jelikož je chat přítomný na stránce pro přihlišení tak je možné krást hesla. Je tam i SQL Injection zranitelnost takže je velmi pravděpodobně možné získat kompletní obsah databáze. Útoky jsem nezkoušel, jen jsem otestoval pár vstupních bodů, zda by jimi šel útok vést. Zabezpečení vůbec nikde. Takže jsou možné i ty nejzákladnější útoky v jejich nejnaivnější podoně. „ani na banování ip adresy se nedostanu“ Jakékoli zakazování je naprosto zbytečné. A to ze 2 důvodů. 1. Blokování přístupu po útoku je k ničemu, jelikož škoda už byla udělána. 2. Změnit si IP adresu (stejně jako cokoli jiného) je pro útočníka velmi lehké. Jelikož web běží i na IPv6 tak zásoba IP adres je prakticky neomezená. |
||
| tachov Profil |
#12 · Zasláno: 21. 4. 2015, 08:30:23
to je dobrý vědět jinak co se týče SQL Injection tak je tam my_real_escape string ...a v dnešní době se dá dostat do všeho.. s tim chatem jsem to netušil ... musim naštudovaat nějaký materiály o zabezpečení
|
||
| Keeehi Profil |
#13 · Zasláno: 21. 4. 2015, 14:42:19
tachov:
„se týče SQL Injection tak je tam my_real_escape string“ Tak buď není všude nebo je použitý špatně. Když jsem do chatu zadal a' -- a, tak se mi vložila prázdná zpráva což značí, že tam nějaký problém bude.
„v dnešní době se dá dostat do všeho.“ Ano, prakticky neexistuje bezpečná aplikace. Bezpečnost není stav ale spíše míra. Je skoro nemožné pokrýt všechny typy útoků ale je dobré začít od těch základních a nejjednodušších a postupně obranu zlepšovat. „musim naštudovaat nějaký materiály o zabezpečení“ Velmi rozumný nápad. |
||
| tachov Profil |
#14 · Zasláno: 21. 4. 2015, 22:47:25
určitě se podívám kde to chybí ...ty děláš nějaký stránky jako formou výdělku?
|
||
| Keeehi Profil |
#15 · Zasláno: 22. 4. 2015, 01:58:54
Zatím se tím neživým, jsem student. Mám však dlouholetou praxi a bezpečnost mě vždy zajímala.
|
||
|
Časová prodleva: 5 dní
|
|||
| tachov Profil |
#16 · Zasláno: 26. 4. 2015, 18:01:07
Keeehi:
koukám na ty možnosti zabezpečení a už jsem z toho magor protože každej to řeší jinak pomohl by jsi mi nějak s tim zabezpečenim? |
||
| Michales Profil |
#17 · Zasláno: 26. 4. 2015, 18:29:13
Do chatu je mozne posilat scripty. Zasadni chyba.
PS: endora te brzy kvuli tomu chatu blokne. Vyslovne zakazuji mit chat na strance. Precti si podminky. |
||
| tachov Profil |
Michales:
ne pokud nezahltim SQL databázi je to nastavený aby se ukládalo jen posledních 50 příspěvků ..a to že to jde vim ...protože potřebuju úpomoct se zabezpečenim |
||
| Michales Profil |
tachov:
Nejde o to jestli zahltis nebo ne. Precti si podminky. Co se tyka zabezpeceni, projdi kazdy vstup do databaze a osetri ho.(zabezpec) Tzn. jdi soubor po souboru a kazdy vstup do sql a vystup zabezpeci. mysql_real_escape_string A ne my_real_escape string jak pises vyse |
||
| Alphard Profil |
#20 · Zasláno: 26. 4. 2015, 18:41:03
Základem je hlídat si uživatelské vstupy. V první řadě důsledně escapovat pro správný kontext a v druhé řadě je třeba mít ošetřený i případný upload souborů apod. Nesmí existovat žádná možnost vykonání podstrčených scriptů. A dále si pohlídejte, abyste nevyzradil citlivé informace, třeba v chybových hláškách zobrazených uživateli.
|
||
| tachov Profil |
#21 · Zasláno: 26. 4. 2015, 18:44:52
Alphard:
já je četl ... je to tam to vim ...stejně jako skrytí jejich reklamy :D ...jak řikám to web jen pro mě abych se něco naučil... až budu zvládat zabezpečení a plně funkční web tak si zaplatim hostin na WEDOS |
||
| Michales Profil |
#22 · Zasláno: 26. 4. 2015, 18:52:08
tachov:
Než se začneš učit programovat, měl by si si projít základy českého jazyka. Jinak základní zabezpečení jsem ti napsal v [#19] |
||
| tachov Profil |
#23 · Zasláno: 26. 4. 2015, 19:06:05 · Upravil/a: tachov
Michales:
však právě protože mám s českym problém, tak se učim programovací :D tachov: a je nějaký návod jak zjistit zda mam SQL databázi chráněnou? nebo nějakej test? |
||
| Keeehi Profil |
Michales:
Pojmem chat server si vykládám úplně jinak než ten scriptík co tachov stvořil. „Jinak základní zabezpečení jsem ti napsal v [#19]“ To je pouze pro zápis do databáze a to ještě ne vždy! Na správný postup dal odkaz Alphard v [#20]. „a je nějaký návod jak zjistit zda mam SQL databázi chráněnou? nebo nějakej test?“ Ochrana je důsledné escapování. Testem je vlastní pokus o útok. Což je bez znalostí technik útoků prakticky nemožné. Takže pro tebe je to o escapování a pak budeš doufat, že jsi na nic nezapomněl. |
||
|
Časová prodleva: 9 let
|
|||
0