Autor | Zpráva | ||
---|---|---|---|
ph@tE Profil * |
#1 · Zasláno: 11. 8. 2006, 18:12:42
Chci se zeptat, může mi například někdo z venčí vlést do rootu serveru a smazat celý web, nebo jen nějaké soubory?? Nebo nějakým php příkazem nebo tak. Nebo, že by se mi naboural do MySQL databáze?
|
||
ph@tE Profil * |
#2 · Zasláno: 11. 8. 2006, 18:14:30
Neznáte popř. linky na nějaké články jak si to zabezpečit, aby se to nestalo?
|
||
venca163 Profil |
#3 · Zasláno: 11. 8. 2006, 18:15:10
pokuď vím tak to snad ne...
myslíš, že mužu PHP příkazem smazat třeba diskusi jpw? |
||
ph@tE Profil * |
#4 · Zasláno: 11. 8. 2006, 18:24:15
No četl jsem někde už nevim kde, že se dá ňák vložit do textarey (třeba u komentářů) php script a ten smaže celou stránku nebo něco takovýho, ale asi si někdo dělal srandu, neměl bych všemu věřit...
|
||
venca163 Profil |
#5 · Zasláno: 11. 8. 2006, 18:55:39
díky za tip =)
|
||
koudi Profil |
#6 · Zasláno: 11. 8. 2006, 18:57:52
Samozřejmě že může, pokud to máš blbě napsaný. Hledej pojmy jako script injection, nebo mysql/query injection (nebo jak se tomu řiká).
|
||
Dero Profil |
#7 · Zasláno: 11. 8. 2006, 20:19:20
Dotaz na "SQL injection" Ti ve vyhledávači podá asi nejpřesnější odpověď. Právě na zabezpečení proti SQL injekcím zapomínají mnohdy i jinak velmi zkušení programátoři.
|
||
banán Profil * |
#8 · Zasláno: 11. 8. 2006, 20:47:04
Díky kouknu se na to, prozatím si formuláře nedělám, takže dobrý.
|
||
Leo Profil |
#9 · Zasláno: 11. 8. 2006, 21:23:32
Ze vseho nejduleziteji je ohlidat si ftp pristup - pouzivat klienta se sifrovanim, atd. U zabezpeceni webserveru zalezi na tom, jestli ho spravujete sam, a mate ho doma treba na pc, nebo mluvime o placenem webhostingu. Co se tyka utoku pres dynamicke stranky, zajima vas sql injection, xss (cross-site scripting), pripadne zabezpeceni mailu, je toho vic, Leo
|
||
Joker Profil |
#10 · Zasláno: 11. 8. 2006, 22:13:25
1. Do rootu by se Vám beměl nikdo dostat, pokud mu nedáte jméno a heslo pro FTP. Další možnost by byla nějaká bezpečnostní chyba ve webserveru
2. No, jelikož PHP příkaz pro smazání souboru existuje, tak samozřejmě lze smazat soubor PHP příkazem. Ale být Vámi, nedovolil bych návštěvníkům na Vašem webu pouštět PHP příkazy :o))) 3. Do databáze se lze nabourat způsobem zvaným "SQL injection", musíte kontrolovat, co do té databáze cpete. ad 2. a 3.: tady platí obecná zásada: nikdy nevěřte tomu, co dostanete od uživatele ;-) V tomhle buďte paranoidní. Nespoléhejte se na cokoliv na straně klienta. Nespoléhejte na to, že před políčko napíšete "sem zadej číslo" nebo nastavíte prvku INPUT maximální povolenou délku přes maxlength. Nespoléhejte na to, že hodnota zaškrtávátek nebo přepínačů bude vždy jedna z možností toho přepínače Nespoléhejte na to, že skrytý prvek formuláře se nedá editovat Nespoléhejte na kontrolu JavaScriptem Pokud možno zakažte superglobální proměnné, tj. že když zavoláte stranka.php?parametr=1, bude automaticky vytvořena promněnná $parametr s hodnotou 1. A nejlepší je si do takových proměnných ukládat už ověřené hodnoty, například pokud Vám má přijít číslo, tak: $promenna = intval($_GET["promenna"]); Nejjednodušší je pokud možno co nejvíce parametrů vyjádřit číselně, pak to proženete přes intval() a máte vystaráno. Na řetězce musíte podle situace použít addslashes(), strip_tags() nebo htmlspecialchars() |
||
Firy Profil |
#11 · Zasláno: 13. 8. 2006, 23:01:57
No četl jsem někde už nevim kde, že se dá ňák vložit do textarey (třeba u komentářů) php script a ten smaže celou stránku nebo něco takovýho, ale asi si někdo dělal srandu, neměl bych všemu věřit...
to se dělá celkem často ve flashi (v Guestbook), takže pozor na pojmenovávání proměnných |
||
Časová prodleva: 18 let
|
Toto téma je uzamčeno. Odpověď nelze zaslat.
0