Autor | Zpráva | ||
---|---|---|---|
vynalezce Profil |
#1 · Zasláno: 3. 4. 2009, 18:00:19 · Upravil/a: vynalezce
Lze nějak bez použití databáze na příspěvky zabránit nepřihlášeným v zobrazování toho, co bylo napsáno na chat?
Pokud ano, jak? Pozn. include ze souboru není nejbezpečnější. |
||
Jan Tvrdík Profil |
#2 · Zasláno: 3. 4. 2009, 18:19:50
vynalezce:
„bez použití databáze“ OT: Jaký je důvod dělat to bez databáze? „include ze souboru není nejbezpečnější“ Na to jsi přišel kde? |
||
vynalezce Profil |
#3 · Zasláno: 3. 4. 2009, 18:53:42 · Upravil/a: vynalezce
„„include ze souboru není nejbezpečnější“
Na to jsi přišel kde?“ procházení adresářů je někde zapnuté, takto taky google mno ale ten by to nemel najit a do robots to taky nebudu davat ale stejne proc bez DB? nekde tady sem slysel ze na wz je limit na pozadavky na db a tohle by nebylo jedine takze... |
||
Majkl578 Profil |
#4 · Zasláno: 3. 4. 2009, 19:00:21
vynalezce
procházení adresářů je někde zapnuté, takto prochazeni lze rucne vypnout, stejne tak jako pristup do adresare |
||
Pan X Profil |
#5 · Zasláno: 3. 4. 2009, 21:16:38
Ale ani při vypnutí není v bezpečí. Include je asi stejně bezpečné jako heslo v JavaScriptu. V PHP je zajímavá funkce glob() viz. http://www.soom.cz/index.php?name=articles/show&aid=393
Je sice málo lidí kteří s tím umí a hlavně kteří by to dělali, ale include NENÍ bezpečné jak už vynalezce řekl |
||
Jan Tvrdík Profil |
#6 · Zasláno: 3. 4. 2009, 21:20:46
Pan X:
„include NENÍ bezpečné“ V tom případě neexistují bezpečené weby na PHP, protože include (require) používají snad všechny :) Osobně si stojím za názorem, že include není nebezpečené, pokud má člověk základní znalosti zabezpečení. |
||
yFang Profil |
#7 · Zasláno: 3. 4. 2009, 21:25:11
Když už je vás tady tolik, co tvrdíte, že include není bezpečný, docela by mě zajímalo v čem konkrétně zpočívá to nebezpečí?
|
||
Jan Tvrdík Profil |
#8 · Zasláno: 3. 4. 2009, 21:28:06
yFang:
Už jsem zjistil, odkud pravděpodobně pramení pocit nebezpečnosti include Pana X – článek PHP Include, který ve skutečnosti pojednává o PHP injection. |
||
yFang Profil |
#9 · Zasláno: 3. 4. 2009, 21:38:59
Jan Tvrdík
Zběžně jsem se na to podíval. Všechny příklady jsou jen nedostatečné ošetření kódu. |
||
imploder Profil |
#10 · Zasláno: 4. 4. 2009, 01:31:37
Na include jsem vyrobil takovou funkci, která by měla být bezpečná a přitom sama adresovat soubor podle URL (ale ne tím trubkovitým způsobem umožňujícím PHP-injection). Tady: http://bprhad.wz.cz/kousky/
Způsob, jak includovat stránky webu a možná úskalí se probíraly v tomto vlákně. |
||
Časová prodleva: 15 let
|
0