| Autor | Zpráva | ||
|---|---|---|---|
| panmagor Profil * |
#1 · Zasláno: 28. 5. 2008, 16:12:43
Dobrý den!
Prosím o OSOBNÍ zkušenosti a rady, jak nejlépe zabezpečit PHP scripty a na co si dát pozor proti hacknutí.. |
||
| Měsíček Profil |
#2 · Zasláno: 28. 5. 2008, 16:43:58
pozor si dej na SQL_Injection a na podvrhnutí <input type="hidden"> .. osobní zkušenost :(
|
||
| panmagor Profil * |
#3 · Zasláno: 28. 5. 2008, 18:16:04
input type hidden na stránkách raději vůbec nemám.. :-) A SQL injection je aktuálně dosti ožehavé téma..
|
||
| DoubleThink Profil * |
#4 · Zasláno: 28. 5. 2008, 18:46:19
Prosím o OSOBNÍ zkušenosti a rady, jak nejlépe zabezpečit PHP scripty a na co si dát pozor proti hacknutí.
Kontroluj a ošetřuj veškerá data z klientova prohlížeče. POST jde zfalšovat komplet, žádný input k tomu není třeba. |
||
| srigi Profil |
#5 · Zasláno: 28. 5. 2008, 19:13:18
Najaktualnejsia je XSS zranitelnost, takze stripuj tagy z formularov. Dolezite je, ze ak z udaje z formulara hned zobrazujes na HTML stranke, nesmies dovolit prechod tagu <script>.
Viac na phpsecurity.org, kde najdes konkretne priklady. |
||
| Měsíček Profil |
#6 · Zasláno: 28. 5. 2008, 19:19:11
Reaguji na DoubleThinka:
"POST jde zfalšovat komplet, žádný input k tomu není třeba." Vím, že je to možné, ale nevím jak, mohl by jsi vysvětlit nebo nahodit odkaz kde je to již řešeno? |
||
| krteczek Profil |
#7 · Zasláno: 28. 5. 2008, 19:23:35
Měsíček: do frefoxu existuje rozšíření, které ti dovolí upravit formulář stránky, jde napsat svoji stránku a odeslat dataz ní na tvůj skript...
|
||
| Nox Profil |
#8 · Zasláno: 28. 5. 2008, 21:03:15
Měsíček
Ani snad není potřeba toho pluginu, vždyť si formulář s postem můžeš přece udělat sám...do action zadáš cílovou stránku a je to |
||
| Mastodont Profil |
#9 · Zasláno: 28. 5. 2008, 21:56:07
Měsíček
Podvrhnutím přes hidden input myslíš co? Že ti někdo input přidal nebo že změnil jeho očekávanou hodnotu? |
||
| Mastodont Profil |
#10 · Zasláno: 28. 5. 2008, 21:58:20
Nox
.. formulář s postem můžeš přece udělat sám .. Při odesílání stránky s formulářem si do sešny ulož jeho název a při přijetí zkontroluj, jestli jeho název v sešně je - pokud ne, tak ho prostě ignoruj. |
||
| DoubleThink Profil * |
#11 · Zasláno: 28. 5. 2008, 23:08:38
Podvrhnutím přes hidden input myslíš co? Že ti někdo input přidal nebo že změnil jeho očekávanou hodnotu?
Změnil. A netýká se to jenom hidden inputu. Nejde věřit ani selectům, radio a checkboxům. |
||
| Timy Profil |
#12 · Zasláno: 28. 5. 2008, 23:31:25 · Upravil/a: Timy
Měsíček
„Vím, že je to možné, ale nevím jak, mohl by jsi vysvětlit nebo nahodit odkaz kde je to již řešeno?“ javascript:document.getElementsByTagName("input")[0].name="prejmenova no";Třeba. Už jen přes Javascript si můžu přepsat kompletně celou stránku. |
||
| Mastodont Profil |
#13 · Zasláno: 29. 5. 2008, 08:01:19
DoubleThink
Ano, proto bych doporučil jednak to ukládání názvů formu do sešny, dále kontrolu toho, zda form obsahuje jen očekávané prvky a pak samozřejmě kontrolu na přípustné hodnoty. |
||
| panmagor Profil * |
#14 · Zasláno: 29. 5. 2008, 10:45:00
A ještě jedna věc- Register globals on, nebo off?
|
||
| Mastodont Profil |
#15 · Zasláno: 29. 5. 2008, 10:51:35
Rozhodně off.
|
||
|
Časová prodleva: 16 let
|
|||
0