Autor Zpráva
panmagor
Profil *
Dobrý den!

Prosím o OSOBNÍ zkušenosti a rady, jak nejlépe zabezpečit PHP scripty a na co si dát pozor proti hacknutí..
Měsíček
Profil
pozor si dej na SQL_Injection a na podvrhnutí <input type="hidden"> .. osobní zkušenost :(
panmagor
Profil *
input type hidden na stránkách raději vůbec nemám.. :-) A SQL injection je aktuálně dosti ožehavé téma..
DoubleThink
Profil *
Prosím o OSOBNÍ zkušenosti a rady, jak nejlépe zabezpečit PHP scripty a na co si dát pozor proti hacknutí.
Kontroluj a ošetřuj veškerá data z klientova prohlížeče. POST jde zfalšovat komplet, žádný input k tomu není třeba.
srigi
Profil
Najaktualnejsia je XSS zranitelnost, takze stripuj tagy z formularov. Dolezite je, ze ak z udaje z formulara hned zobrazujes na HTML stranke, nesmies dovolit prechod tagu <script>.
Viac na phpsecurity.org, kde najdes konkretne priklady.
Měsíček
Profil
Reaguji na DoubleThinka:

"POST jde zfalšovat komplet, žádný input k tomu není třeba."

Vím, že je to možné, ale nevím jak, mohl by jsi vysvětlit nebo nahodit odkaz kde je to již řešeno?
krteczek
Profil
Měsíček: do frefoxu existuje rozšíření, které ti dovolí upravit formulář stránky, jde napsat svoji stránku a odeslat dataz ní na tvůj skript...
Nox
Profil
Měsíček
Ani snad není potřeba toho pluginu, vždyť si formulář s postem můžeš přece udělat sám...do action zadáš cílovou stránku a je to
Mastodont
Profil
Měsíček
Podvrhnutím přes hidden input myslíš co? Že ti někdo input přidal nebo že změnil jeho očekávanou hodnotu?
Mastodont
Profil
Nox
.. formulář s postem můžeš přece udělat sám ..
Při odesílání stránky s formulářem si do sešny ulož jeho název a při přijetí zkontroluj, jestli jeho název v sešně je - pokud ne, tak ho prostě ignoruj.
DoubleThink
Profil *
Podvrhnutím přes hidden input myslíš co? Že ti někdo input přidal nebo že změnil jeho očekávanou hodnotu?
Změnil.

A netýká se to jenom hidden inputu. Nejde věřit ani selectům, radio a checkboxům.
Timy
Profil
Měsíček
„Vím, že je to možné, ale nevím jak, mohl by jsi vysvětlit nebo nahodit odkaz kde je to již řešeno?“
javascript:document.getElementsByTagName("input")[0].name="prejmenova no";

Třeba. Už jen přes Javascript si můžu přepsat kompletně celou stránku.
Mastodont
Profil
DoubleThink
Ano, proto bych doporučil jednak to ukládání názvů formu do sešny, dále kontrolu toho, zda form obsahuje jen očekávané prvky a pak samozřejmě kontrolu na přípustné hodnoty.
panmagor
Profil *
A ještě jedna věc- Register globals on, nebo off?
Mastodont
Profil
Rozhodně off.

Vaše odpověď

Mohlo by se hodit


Prosím používejte diakritiku a interpunkci.

Ochrana proti spamu. Napište prosím číslo dvě-sta čtyřicet-sedm: