Autor | Zpráva | ||
---|---|---|---|
candiess Profil |
#1 · Zasláno: 4. 12. 2010, 18:55:13
A smím li se zueptat jek ste na to přišel..?¨
A případně, jak by se měly hesla hashovat.?? MD5 pokud vím nebylo rozluštěno.. |
||
Keeehi Profil |
#2 · Zasláno: 4. 12. 2010, 19:00:00 · Upravil/a: Keeehi
například zde http://www.root.cz/clanky/tunely-v-hasovacich-funkcich-kolize-md5-do-minuty/
candiess: „A smím li se zueptat jek ste na to přišel..?“ Jak vidíš, bezpečnost nemáš úplně dodělanou. Jak na test-hamiro.tode.cz tak i na hamiro.cz |
||
candiess Profil |
#3 · Zasláno: 4. 12. 2010, 19:14:50
neměl bys zájem mě nějak doučit..pls..??
|
||
Keeehi Profil |
#4 · Zasláno: 4. 12. 2010, 19:23:31
candiess:
Ono na tom vlastně není nic těžkého. Stačí vždy nevěřit uživatelským vstupům a kontrolovat, zda zadal co zadat měl. Poté u všech ošetřit nebezpečné znaky. A jako poslední, nevypisovat chybu, pokud vznikne (i když by tento případ neměl nastat). Zkus si třeba při registraci do přímení zadat O'Connor. |
||
Spectator Profil |
#5 · Zasláno: 4. 12. 2010, 19:28:17
Pokud jde o bezpečnost na hamiro.cz, tak jsem spustil pro zajimavost akunetix a vyhlásil velké množství chyb a nejednu kritckou.
|
||
candiess Profil |
#6 · Zasláno: 4. 12. 2010, 19:30:05
hamiro.cz neni zabezpečeno, to já vím, chystám se na to... a ošetření..ošetřuji htmlspecialchars() a magic_quote_gpc()..mám tam dát ještě něco..?
|
||
Keeehi Profil |
#7 · Zasláno: 4. 12. 2010, 19:38:59
Proč nepoužiješ mysql_real_escape_string()?
|
||
candiess Profil |
#8 · Zasláno: 4. 12. 2010, 19:41:25
všude to píšou jinak, že to je nespolehlívé a tamo taky, až sem našel pěknou recenzi na isq injection, tk sem použil magic_quote_gpc()...v čem je mysql_real_escape_string() lepší než to moje..?
|
||
Keeehi Profil |
#9 · Zasláno: 4. 12. 2010, 20:30:12 · Upravil/a: Keeehi
Kromě přečtení tebou odkazovaného článku, by jsi si měl přečíst i ty články na které se odkazuje. mysql_real_escape_string se nemusíš bát.
Mimo jiné nesmíš zapomínat také na to, že je to pět let starý článek. |
||
candiess Profil |
#10 · Zasláno: 4. 12. 2010, 20:38:54
<?php function ochrana($what) { return mysql_real_escape_string($what); } if(isset($_GET['task'])) { $task = ochrana($_GET['task']); } ?> Je možno..?? |
||
Keeehi Profil |
#11 · Zasláno: 4. 12. 2010, 20:42:58
candiess:
Zrovna v tomto případě by jsi to escapovat nemusel, protože proměnná $task se do dotazu nevkládá. (Alespoň doufám, jinak by to bylo hodně zvláštní) Jinak to máš vlastně správně. Akorát sis vytvořil alias pro funkci mysql_real_escape_string. |
||
candiess Profil |
#12 · Zasláno: 4. 12. 2010, 20:50:44 · Upravil/a: candiess
mno vlastně ta funkce ocharana() byla vytvořena pro více příkazu..
něco ve smyslu function ochrana($what) { mysql_real_escape_string($what); addslashes($what); htmlspecialchars($what); } ale ta funkce ani nejde a asi ani nedává smysl..a to mě štve..nebo vlastně, co všecko umí mysql_real_escape_string()? jako má v sobě htmlspecialchars() a addslashes()..? |
||
Keeehi Profil |
#13 · Zasláno: 4. 12. 2010, 20:54:43
Koukni se do manuálu, máš to tam hezky popsané.
|
||
Spectator Profil |
#14 · Zasláno: 4. 12. 2010, 21:13:04 · Upravil/a: Spectator
toto vrací htmlspecialchars()
<?php $new = htmlspecialchars("<a href='test'>Test</a>", ENT_QUOTES); echo $new; // <a href='test'>Test</a> ?> toto vrací addslashes() <?php $str = "Jmenuješ se O'reilly?"; // Vypíše: Jmenuješ se O\'reilly? echo addslashes($str); ?> a konečně mysql_real_escape_string() <?php $link = mysql_connect('localhost', 'mysql_user', 'mysql_password'); $item = "Zak's and Derick's Laptop"; $escaped_item = mysql_real_escape_string($item); printf ("Escaped string: %s\n", $escaped_item); //výstup: Escaped string: Zak\'s and Derick\'s Laptop ?> Našel jsem někde takové pěkné příklady =) Vezmi si, co se stane, když jedno slovo proženeš všemi těmito funkcemi. 8-) |
||
snake.aas Profil * |
#15 · Zasláno: 5. 12. 2010, 19:23:22
já tu napíšu pár postřehů nejen kolem php. Vem si z toho co uznáš za vhodné
obrázky kategorií - není vhodné je zmenšovat na úrovni html... máš pak zbytečný traffic prosím, to sněžení je neuvěřitelně otravné... nejsem si jistý vhodností typu písma u nadpisů. IE7 (ať už je to jakkoliv strašný prohlížeč) není starší prohlížeč a optimalizovat pro něj by mělo být (bohužel) samozřejmostí pokud plánuješ používat tento e-shop naostro, tak ti radím, nedělej to. pouze a jedině odradíš zákazníky od nákupu. použij nějaký free shop a tenhle doma dál vylepšuj. Pročti si něco o zabezpečení aplikace (doporučuju Zranitelný kód - Sverre H. Huseby), optimalizaci databázových dotazů, případně i něco o html a css. tím, že tohle pustíš do ostrého provozu riskuješ, že tam někdo objeví závažnou bezpečnostní díru a ty přijdeš v lepším případě jen o peníze... |
||
candiess Profil |
#16 · Zasláno: 5. 12. 2010, 20:03:38
díky za upozornění, ale ja si myslím že dotazy do db mám pěkné, sněžení není můj vymysl ale výmysl zákazníka, pro kterého to je.. a newím kde je chyba při optimalizaci pro IE7..zkoušel sem prostě všecko a nic..:( IE7 to nebere vubec..
|
||
Spectator Profil |
#17 · Zasláno: 5. 12. 2010, 20:46:02
candiess:
Na kolik by takovej eshop vyšel, kdybych si ho od tebe nechal udělat, možná mám zájem. |
||
candiess Profil |
#18 · Zasláno: 5. 12. 2010, 20:52:46
Spectator:
haha na vtípky není čas..dělám to pro mou máti..sem student 1. ročníku SŠ..je mi 15.. co byste po mě chtěli..jen sem prostě chtěl udělát máti e-shop (jednoduchý) aby necpala tisííce do nějakého programátora.. |
||
Spectator Profil |
#19 · Zasláno: 5. 12. 2010, 20:58:39 · Upravil/a: Spectator
candiess:
Tím spíš, že je to pro rodiče bych byl opatrný. Ona to nemusí být zas až taková sranda. Existují free eshopy, které vcelku snadno nainstaluješ na server, v nastavení nastavíš co potřebuješ a už jen plníš zbožím. Neříkám, že na dobře fungující eshop nemáš, ale ono je tam toho hodně na vyřešení. Zkoušej to, trénuj a uč se a za, třeba i pár měsíců to zvládneš, ale nyní naostro bych opravdu doporučil nějakou stažitelnou variantu. Mluvím teď vážně. |
||
Dtr Profil * |
#20 · Zasláno: 6. 12. 2010, 15:08:32
JJ, použij nějaký free eshop a pak si to jdi rovnou hodit. Protože než v něm uděláš nějaké požadované změny, tak by jsi měl vlastní e-shop napsaný 3x :) Pokud teda nejsi už zkušený php programmer, pak by ti vnitřní kód např. takovýho Magenta problémy dělat nemusel.
|
||
Keeehi Profil |
#21 · Zasláno: 6. 12. 2010, 15:11:58
Dtr:
Pokud není zkušený programátor, tak vlastní fungující a hlavně bezpečný eshop si sám napsat nezvládne. |
||
Dtr Profil * |
#22 · Zasláno: 6. 12. 2010, 16:43:19
Keehi: To jistě ne, jen jsem chtěl naznačit, že free e-shopy taky nejsou, kvůli zmíněným důvodům, zdaleka žádná výhra. Ale pokud si je jistý, že mu základní funkce některého free shopu budou stačit, tak proč ne.
|
||
Spectator Profil |
#23 · Zasláno: 6. 12. 2010, 16:47:25
Dtr:
Myslím, že základní funkce by mu mohli stačit bohatě. |
||
Časová prodleva: 13 let
|
0