| Autor | Zpráva | ||
|---|---|---|---|
| dvorak Profil |
Dobry den mám problem administraci mám hotovou a nevim jak jí zabespecit aby tam nikdo nevidanej nevlezl takto tady to mám:
<? if ($_SESSION['Prava'] >= 1){
echo "stranka pro dane prava ale musim sem vlozit celou stranku i s php skriptama a to nevim jak :(";
}else {
echo "<h3><blink>Error</blink></h3><center>Nemáš práva - vypal!</center>";
}
?> |
||
| Tomasds Profil |
#2 · Zasláno: 5. 4. 2009, 15:50:01
nevídané
|
||
| Mastodont Profil |
#3 · Zasláno: 5. 4. 2009, 15:51:12
Co třeba
include 'admin.php'; |
||
| dvorak Profil |
#4 · Zasláno: 5. 4. 2009, 16:20:00
Tomasds
co myslis tim nevídané ? Mastodont include co kdys nekdo bude typovat adresi ? |
||
| Mastodont Profil |
#5 · Zasláno: 5. 4. 2009, 16:24:59
dvorak
A jak mu to pomůže? |
||
| vynalezce Profil |
#6 · Zasláno: 5. 4. 2009, 16:30:04 · Upravil/a: vynalezce
co takhle if($jetoadmin=="1"){
if($adminsekce=="1"){echo "obsah sekce 1"; if($textprispevku!=""){ pridani prispevku } } . . . atp } |
||
| dvorak Profil |
#7 · Zasláno: 5. 4. 2009, 16:41:17
vynalezce
nepochopil jsme co to má delat jeto tam 2x |
||
| vynalezce Profil |
#8 · Zasláno: 5. 4. 2009, 16:45:54
pokud je uzivatel admin a vybral si v administraci sekci 1 tak se mu vypise obsah te sekce (treba pridani clanku) a pokud text clanku nebude prazdny (aby se nevkladaly pri nacteni nove clanky) tak to bude pokracovat kodem pro pridani prispevku zde oznaceneho jako pridani prispevku
sekci a funkci jednotlivych sekci tam muze byt vic |
||
| Tomasds Profil |
#9 · Zasláno: 5. 4. 2009, 17:15:54
dvorak
co myslis tim nevídané ? Tím myslím tvou otřesnou češtinu. Jestli jsi kamerunský student nebo japonský turista, tak se omlouvám. Tvůj dotaz je nesmyslný. Píšeš že administraci máš hotovou, pak přihodíš jeden if, který podle existence session zobrazí jednu nebo druhou možnost a pak se ptáš jak "jí zabespecit". Zřejmě vůbec netušíš, jak session používat. Takže administraci hotovou nemáš ani zdaleka. Hledej sessions v php. Doporučil bych linuxsoft.cz/php, ale ten zřejmě právě teď nejede. |
||
| imploder Profil |
#10 · Zasláno: 5. 4. 2009, 17:24:17
dvorak
Takže když si doma v počítači vytvořím správnou sušenku, tak dostanu přístup do tvojí administrace a nemusím na to znát žádné heslo. Musí to být zabezpečené kódem. Ten přístupový kód nemá být "1", ale něco o hodně silnějšího. Vhodná je na to funkce uniq_id(). Uživatel se přihlásí svým jménem a heslem a dostane náhodně vygenerovaný přístupový kód. Ten pak používá jako doklad, že má na přístup do administrace právo. Je to jakýsi jeho dočasný klíč. Když se odhlásí, klíč se zničí, a nikdo už ho pak nemůže k přístupu do administrace použít. |
||
| dvorak Profil |
#11 · Zasláno: 5. 4. 2009, 18:05:33
Tomasds
Asi si to nejak nepochopil chrousťáku mám hotovou administraci a chybymi zabespečení d*m***e! |
||
| Mastodont Profil |
#12 · Zasláno: 5. 4. 2009, 18:11:13
dvorak
S nadávkami tu velmi rychle skončíš. |
||
| Nox Profil |
#13 · Zasláno: 5. 4. 2009, 18:17:23 · Upravil/a: Nox
imploder
Jestli to chápu dobře tak kód není "1", je to jen určení práv, stanovené právě zadáním nějakého kódu...aspoň teda doufám :) Pokud ukradneš třeba adminovi session, tak už je myslím jedno, že tam bude ["prava"]=10 nebo ["kod"]=54S18D9S. Našel jsem tedy cosi o session poisoning, tak možná takto by v tom byl rozdíl (jestli to chápu dobře), pokud by ten kód byl velmi špatně napsaný (vkládání do session z dat zaslaných uživatelem bez jakékoliv kontroly) vynalezce Jaké přidávání příspěvků? Dvakrát podmínka...jsi trochu zmatený :) dvorak <blink> fuj viz Tomasds a pak si projdi třeba http://zdrojak.root.cz/clanky/prehled-utoku-na-webove-aplikace/ a podobné Edit: uf, ten poslední post doufám nemyslíš vážně... |
||
| DoubleThink Profil * |
#14 · Zasláno: 5. 4. 2009, 20:09:39
„Takže když si doma v počítači vytvořím správnou sušenku, tak dostanu přístup do tvojí administrace a nemusím na to znát žádné heslo“
No pokud dokážeš uhodnout validní a platné 32bajtové šestnáctkové číslo, tak opravdu nemusíš znát heslo. „Asi si to nejak nepochopil chrousťáku mám hotovou administraci a chybymi zabespečení d*m***e!“ Raději brzdi nebo budeš umlčen na věky. Mimochodem s tou češtinou bys opravdu měl něco dělat, produkuješ horší výstup než čínsko-český translátor. |
||
| vynalezce Profil |
#15 · Zasláno: 6. 4. 2009, 13:33:12
„Jaké přidávání příspěvků? Dvakrát podmínka...jsi trochu zmatený :) “
Neco ta administrace ma delat nebo je snad jen tak na ozdobu vyveseni v robots.txt a tlemeni se nad tim ze to nekdo 2 hodiny hackoval a pak zjistil ze mu to nepomuze :D? ja bych nerek nepochopils spatne kod? proc si to myslis? to je pokud je uzivatel prihlasen a je v sekci 1 tak mu to vypise jeji obsah muze to pokracovat sekci 2,3,4,5,6... treba prispevky,chat, ankety, db... ten treti if je tam abych zjistil jestli vyplnil text a kdyby tam nebyl vkladalo by to prazdne prispevky rekl bych ze takto je to prehlednejsi a je tu jednodusi pridavani sekci jinak by hrozilo (pri pouziti if $jetoadmin=="1" && $sekce=="1" ze na to zapomene a dostane se do casti administrace bez hesla) |
||
| Fireous Profil |
#16 · Zasláno: 6. 4. 2009, 16:11:43
Ja to rieším jednoducho.Každý registrovaný užívateľ ma user level,ktorý je uložený v db.Tam sa človek dostane ťažšie ako ukradne session,teda keď sa user prihlási,vybere sa z db jeho userlevel a ak je dostatočný zobrazí sa požadovaný súbor,ale ak to je jediné zabespečenie tak to je dosť slabé
|
||
| Mastodont Profil |
#17 · Zasláno: 6. 4. 2009, 16:33:25
Dobré je zpřístupnit administraci jen přes speciální URL, generované pro přihlášené uživatele s příslušným oprávněním.
|
||
| AM_ Profil |
#18 · Zasláno: 6. 4. 2009, 19:10:57
vynalezce
Když už nic jiného, tak bych na ty sekce použil alespoň CASE konstrukci. |
||
|
Časová prodleva: 3 měsíce
|
|||
| denCo Profil |
#19 · Zasláno: 13. 7. 2009, 11:29:53
administraciu by som nikdy nespravil len pomocou toho session, lebo tie sa daju ukradnut aj ked namahavo ale daju sa... ja som to spravil tak, ze pri prihlasovani ulozim do session aj ip a prehliadac z ktoreho sa prihlasil a ked vstupy do administrativneho panela, tak skontroluje, ci ip a prehliadac su rovnake ako pri prihlasovani
|
||
| Mastodont Profil |
#20 · Zasláno: 13. 7. 2009, 12:18:14
denCo
To je dobrý přístup, každý kdo má providera s měnící se IP adresou, ti za něj jistě poděkuje. |
||
| Europsky_Dzigolo Profil |
#21 · Zasláno: 13. 7. 2009, 15:48:07
dvorak
<? if ($_SESSION['Prava'] >= 1){
?>
<head>
<body>
stranka pro dane prava ale musim sem vlozit celou stranku i s php skriptama a to uz vim jak :)
</body>
</head>
<?php
}else {
echo "<h3><blink>Error</blink></h3><center>Nemáš práva - vypal!</center>";
}
?>cital som len prvy prispevok nvm ci to uz mas nemam cas cele to tu citat |
||
| denCo Profil |
#22 · Zasláno: 13. 7. 2009, 18:07:34
„To je dobrý přístup, každý kdo má providera s měnící se IP adresou, ti za něj jistě poděkuje.“
ti si ma nepochopil... ked sa niekto prihlasi, tak IP s ktorou sa prihlasi sa zaznamena do session a ked tie session niekto ukradne, tak ked pojde na administraciu, tak ho to nepusti a hnet mu to vymaze session takze ma iba jeden pokus, lebo ma inu IP ako vtedy, ked sa prihlasil, a zo session sa neda zistit nic, takze bud bude tipovat IP a aj prehliadace, kym sa mu to nepodari alebo bude odchytavat pakety, co je zlozite, narocne a este aj pracne a dlho to trva |
||
| tiso Profil |
#23 · Zasláno: 13. 7. 2009, 18:53:53
denCo: netrep somariny...
|
||
| denCo Profil |
#24 · Zasláno: 13. 7. 2009, 19:02:38
„denCo: netrep somariny...“
co myslis??? |
||
| tiso Profil |
#25 · Zasláno: 13. 7. 2009, 19:07:05
denCo: „takze bud bude tipovat IP a aj prehliadace, kym sa mu to nepodari alebo bude odchytavat pakety, co je zlozite, narocne a este aj pracne a dlho to trva“
Môžeš napísať ako sa mu podarí prihlásiť na niekoho iného účet? |
||
| fandaa Profil |
#26 · Zasláno: 13. 7. 2009, 19:07:52
denCo
IP se může měnit i za běhu. Pokud používáš internet v mobilu a jedeš třeba vlakem, tak máš klidně i 10 různých IP za cestu. Čili tento způsob se dá opravdu vyloučit. |
||
| denCo Profil |
#27 · Zasláno: 14. 7. 2009, 10:07:00
„Môžeš napísať ako sa mu podarí prihlásiť na niekoho iného účet?“
zeby takto??? http://www.phpguru.cz/clanky/session-hijacking |
||
| denCo Profil |
#28 · Zasláno: 14. 7. 2009, 10:11:56
„IP se může měnit i za běhu. Pokud používáš internet v mobilu a jedeš třeba vlakem, tak máš klidně i 10 různých IP za cestu. Čili tento způsob se dá opravdu vyloučit.“
kolko percent ludi chodi na stranky cez mobil? ja radcej nebudem riskovat session-hijacking... ale aj tak ja to mam iba na administraciu, nie pre kazdeho uzivatela, takze to je len pre potreby moje a ja nechodim na net cez mobil |
||
| tiso Profil |
#29 · Zasláno: 14. 7. 2009, 10:12:57
|
||
| denCo Profil |
#30 · Zasláno: 14. 7. 2009, 10:21:31 · Upravil/a: denCo
„ten článok sa týka ukradnutia SID. Ty si v [[url=#22" class="kotva">#22</a>] písal čo som citoval v [#25], tak ešte raz prosím o postup ako sa podarí niekomu prihlásiť na ten iný účet, keď o tom píšeš.“
to ja vobec netusim... mne jeden chalan povedal, aby som si to takto zabezpecil... ale to prihlasenie to som trepol asi naozaj somarinu... zato sa ospravedlnujem... mne islo hlavne o to, aby nedavali vsetko na to ci v $_SESSION['prava'] sa rovna 1 alebo nie... ja som to spravil s tym prehliadacom a IP a este som to schoval... napr. www.nieco.sk/acpaycmasdhzasdzv/adminkosomhlavny.php takze to nemaju ako tipnut kde je administracia |
||
|
Časová prodleva: 14 let
|
|||
0