Autor | Zpráva | ||
---|---|---|---|
juneau Profil |
#1 · Zasláno: 21. 3. 2005, 17:43:07
to je moznost, ale ne u tohohle webu. obecne to je nutne brat v potaz, to ano.
|
||
Martin Profil |
#2 · Zasláno: 21. 3. 2005, 21:14:19
Pro ty co nevěděli co to phishing je http://www.tiscali.cz/mult/mult_center_040707.754391.html
Asi záleží na konkrétním webu. |
||
llook Profil |
#3 · Zasláno: 22. 3. 2005, 11:16:40
23k
KDYBYS MEL DATABAZI ... to je to o cem sem mluvil => SQL INJEKCE SQL injection je trochu něco jinýho - tam jde o úpravu vstupních údajů použitých jako součást SQL dotazu. Tohle je spíš takové PHP injection. Právě tím, že se includovaný soubor provádí (a to i ten vzdálený soubor), tak jsou to vrata jako hrom, to už je lepší readfile. V uváděné diskuzi zobrazovali kód, ale nebezpečí je mnohem víc, i bez databáze. Pokud máš například v adresáři toho webu nějaké přepisovatelné soubory, vzdálený útočník je bez problémů může přepsat. Ale zpět k tématu. Tohle je docela slabá stránka PHP, žádné řešení se asi nebude líbit každému. Output buffer funkce už byli nastíněné, další možností je nevkládat obsah mezi hlavičku a patičku, ale vkládat hlavičku a patičku kolem obsahu. Pokud chcete zachovat page controller v jednom PHP souboru, pak můžete hlavičku a patičku uzavřít do funkcí a ty pak volat z vkládaných souborů:
|
||
23k Profil |
#4 · Zasláno: 22. 3. 2005, 13:40:22
>> 23k
KDYBYS MEL DATABAZI ... to je to o cem sem mluvil => SQL INJEKCE SQL injection je trochu něco jinýho - tam jde o úpravu vstupních údajů použitých jako součást SQL dotazu. Tohle je spíš takové PHP injection. Mno Ilooku nerekl bych. Jedna se stale o modifikaci URL a pokud si tahas veci z DB a nemas je radne zabezpeceny => SQL injekce , utocnik Ti muze nadelat poradnou paseku. Videl jsem co udelal s mym webem v pocatcich hratek s DB nas externi programator. Behem 20min, mi vytahal nazvy tabulek , misto jednoho clanku mi z DB includnul vsechny a pak se mi dostal do redakcniho systemu. |
||
RiZe Profil |
#5 · Zasláno: 22. 3. 2005, 18:23:14 · Upravil/a: RiZe
Nějaký jiný elegantní způsob neexistuje ;(
Zkusím ještě ten Krteczkuv způsob a pak teda nevim. Ještě ten od Ilooka RiZe |
||
23k Profil |
#6 · Zasláno: 23. 3. 2005, 00:24:31
Jaky elegantni, nejsnazsi zpusob je si vytvorit pole , to co bylo uvedeno na zacatku. Nebo si vkladej stranky pres MYSQL a popisek mej primo v tabulce. Nevim co bys chtel ;)
|
||
Yuhů Profil |
#7 · Zasláno: 23. 3. 2005, 02:10:52
možná se ti bude hodit jedna moje prasárna. Do šablony:
<html> <body> <? include "soubor.php"; ?> </body> </html> občas includuju soubor této podoby: <title>titulek stránky</title> <h1>Nadpis</h1> a hurá, normální text... Funguje to. Nekamenujte mě, snažím se jenom pomoct. |
||
23k Profil |
#8 · Zasláno: 23. 3. 2005, 11:03:42
Yuhů? Ty includujes za tag <BODY> tag <TITLE> ?
Yuhů? Ty includujes za tag <BODY> tag <TITLE> ? ### 1) EASY zpusob FUNKCE.PHP <? function hlavicka($title) { echo "<html> <head></head> . . <title>$title</title> . . </head>"; } function paticka() { echo "... to co chcete mit v zapati"; } ?> ### Stranka.php <? include "funkce.php" hlavicka("TOTO JE MUJ PRVNI TITULEK"); NEJAKY STRED, menu, obsah webu paticka(); ?> ### 2) způsob pokud stranky vkladas pres $_GET cili index.php?page=NECO tak byl uveden na zacatku, sympaticke tvoreni titulku pres POLE ### 3) navrhni si to co sem popisoval ja, stranky v DB, kazda stranka ma svoje ID, TITULEK, URL, POPIS .... Vyber si ;) |
||
RiZe Profil |
#9 · Zasláno: 23. 3. 2005, 13:19:54
Já neumim MySQL, ale stáhnul jsem si Apache s PHPéčkem. Po předlouhé době ( 3dny ) jsem ho zprovoznil a teď ještě MySQL. Mám na disku nějaký seriály z linuxsoft, tak si je pročtu a snad budu moudřejší :)
|
||
23k Profil |
#10 · Zasláno: 23. 3. 2005, 13:36:36
1+2 => nemusis umet MYSQL a prakticky ani PHP. 1 a 2 zpusob jsem Ti napsal i jini, a vystacis si s ARRAYS, INCLUDE, a jednoduchymi funkcemi ..
Tak na co cekas? ;) |
||
thingwath Profil |
#11 · Zasláno: 23. 3. 2005, 14:05:26
Ovládat databázi je vždycky plus, jen ho nech :-)
|
||
RiZe Profil |
#12 · Zasláno: 23. 3. 2005, 18:50:28
2thingwath
S tím ovládáním databáze jen ho nech si myslel něco ve smyslu je to zbytečný, ale ať se to naučí, nebo jsi to myslel vážně :) |
||
thingwath Profil |
#13 · Zasláno: 23. 3. 2005, 19:59:21
Zbytečný to v žádném případě není, znalost databáze se nikdy neztratí. A žádná ironie, fakt :-)
|
||
RiZe Profil |
#14 · Zasláno: 23. 3. 2005, 21:12:36
hmm, ale zapamatovat si to, to bude sranda.
|
||
RiZe Profil |
#15 · Zasláno: 24. 3. 2005, 08:38:47
A když už jsme u tý databáze, jak by vypadalo takový zadefinování toho id stránky a následné vyvolání. To bych měl všechny stránky v databázi nebo co?
|
||
La_ToRaNTe Profil |
#16 · Zasláno: 24. 3. 2005, 08:57:30 · Upravil/a: La_ToRaNTe
No jestli tu navigaci delas tak jak myslim.
A odkazy pak mas nejak taklhe <a href="index.php?cast=fotky">Fotky</a> Tak by si do title moh napsat tohle <title><? Můžes si s tim pak vyhrát třeba přes funkci switch ... Doufám, že sem sem nenapsal úplnou blbost :-) |
||
23k Profil |
#17 · Zasláno: 24. 3. 2005, 13:01:13 · Upravil/a: 23k
table.stranky
id | nazev | popis | titulek | dalsi sloupce ... 1 | stranka1.html | testovaci HTML stranka | TOTO JE STRANKA 1 2 | kontakt.php | Stranky s kontakty | Kontaktujte me | . . . atd. $id = $_GET['stranka']; a pak provedes select z db => $mq = mysql_query("SELECT * from stranky where id='$id' "); $mfa=mysql_fetch_array($mq); a pak includujes include $mfa[1]; // vlozi prislusnou stranku a odkaz vypada napr. takto => ?page=1 // vlozi stranka1.html Samozrejme se to musi rozsirit o zabezpeceni, aby stranka vubec existovala, taky aby si user nemohl modifikovat URL jak se mu zachce, ale jako hruby nastin to snad STACI NE? :)) |
||
RiZe Profil |
#18 · Zasláno: 24. 3. 2005, 13:59:18
Nějak to zabezpečit zkusim a dyžtak se zeptám. Myslím, že to je nějak s podmínkou if File_Exists. Snad. Možná :)
|
||
RiZe Profil |
#19 · Zasláno: 24. 3. 2005, 14:01:13
Jo, jak bude vypadat SQL příkaz tohohle
|
||
23k Profil |
#20 · Zasláno: 24. 3. 2005, 14:27:52
Ceho?
Hele nechces pro zacatek zacit s necim jednodussim? Postupne se to ucit ... |
||
RiZe Profil |
#21 · Zasláno: 24. 3. 2005, 18:04:24
1) Tý tabulky
2) Jo a zkousim se ucit i z prikladu ( i slozitejsich ) |
||
23k Profil |
#22 · Zasláno: 25. 3. 2005, 00:13:04
1) a pak provedes select z db => $mq = mysql_query("SELECT * from stranky where id='$id' ");
to je SQL prikaz, struktura je zas popsana vyse ... 2) kup si book :) PHP a MYSQL -rozvoj webovych aplikaci 2vydani, WELLING , 800kc, je vynikajici a myslim ze te nauci 90% na ktery se tady ptas |
||
RiZe Profil |
#23 · Zasláno: 25. 3. 2005, 18:23:47 · Upravil/a: RiZe
Ech! 800,- . To je docela dost chechtáků :( . Už jen jednu věc. Udělal jsem tu tabulku. Mám ID, název souboru a titulek. Jenže teď potřebuju něco, co zjistí jméno stránky a podle toho načte titulek. 2hod sem koumal a nic sem nevykoumal. Musel sem začít hrát CS abych se uklidnil :).
Není něco jako učebnice na netu? Myslím MySQL |
||
habendorf Profil |
#24 · Zasláno: 25. 3. 2005, 19:58:02
Je to asi trochu mimo, ale třeba ti to pomůže. Na stránce s výsledky hledání mám:
echo '<title>Výsledek hledáni výrazu ' . stripslashes ($HTTP_GET_VARS['q']) . '</title>'; kde v q je hledaný výraz. |
||
RiZe Profil |
#25 · Zasláno: 26. 3. 2005, 09:52:35
2habendorf
kdybys to popsal tak bys mi docela pomohl. řekněme že odkazem vyvolám stránku news.php .A potřebuju něco co zjistí, že teď zrovna sem vyvolal news.php a přejede po tom řádku od jména stránky k titulku a ten vydoluje a potom vypíše. Možná, že to co jsi sem dal funguje, ale nějak jsem to nepochopil :( |
||
RiZe Profil |
#26 · Zasláno: 26. 3. 2005, 09:53:19
ještě jsem zapomněl.
vyvolávám index.php?page=news |
||
habendorf Profil |
#27 · Zasláno: 26. 3. 2005, 21:04:30
RiZe: No já se v PHP skoro vůbec nevyznám, navíc koukám podle názvu tématu že má jít o inkludovaný soubor, to mi předtím uteklo. Ale třeba to k něčemu bude:
formulář: <form action="hledej.php" method="get" ... <input type="text" name="q" .... a v hledej.php v hlavičce: <?php echo '<title>Výsledek hledáni výrazu ' . stripslashes ($HTTP_GET_VARS['q']) . '</title>'; ?> Čili tam vypíšu obsah té proměnné, která se přenáší přes URL. V tomto případě je v ní hledané slovo. |
||
Časová prodleva: 8 dní
|
|||
zimmi Profil |
#28 · Zasláno: 4. 4. 2005, 09:07:13
ja to delam takhle:
<title><?php echo $title?></title> a potom deklaruju: $title=blabla |
||
Yuhů Profil |
#29 · Zasláno: 4. 4. 2005, 12:31:58
myslíte, že má tohle téma ještě smysl? Dobrali jsme se k něčemu? Zvládne někdo z vás napsat závěr?
|
||
llook Profil |
#30 · Zasláno: 4. 4. 2005, 14:03:19
Pokusím se. Dobrali jsme se k několika způsobům, žádný není ideální:
1. Definovat titulek mimo vkládanou stránku - například v nějakém poli v PHP nebo v SQL databázi. 2. Využít funkce pro práci s bufferem výstupu. http://php.net/manual/cs/ref.outcontrol.php Vkládaná stránka buďto naplní proměnnou, nebo nějak označí titulek (např. v případě vkládání pomocí readfile). 3. Z vkládaných souborů vkládat soubory se začátkem a koncem stránky. 4. Uzavřít začátek a konec stránky do funkcí a ty pak volat z vkládaného souboru. Těmto funkcím pak předávat titulek třeba parametrem. 5. Uvést titulek až v těle dokumentu - současným prohlížečům to nevadí: <html><body><title>Tohle funguje!</title></body></html> Pokud někoho napadne ještě něco dalšího, tak ať si založí nové téma. Předpokládám, že RiZe už původní problém nějak vyřešil, takže to zamknu. |
||
Časová prodleva: 19 let
|
Toto téma je uzamčeno. Odpověď nelze zaslat.
0