| | |
| Stránka: 1 z 1
| [ Príspevkov: 6 ] | |
Autor | Správa |
---|
Registrovaný: 21.09.08 Prihlásený: 14.11.17 Príspevky: 225 Témy: 74 Bydlisko: Michalovce |
Nazdarek. Hned na uvod sa ospravedlnujem ak som zvolil nespravnu sekciu. Mal by som 2 otazocky ohladom bezpecnosti (kodovania) stranky.
1. Pri tvorbe stranky pouzivam u registrovanych uzivatelov tzv. userID (uzivatelske ID) - teda nejaku cis. hodnotu pod ktorou je uzivatel registrovany a ulozeny v tabulkach databazy. Nasledne toto uzivatelske ID pouzivam napr. pri zobrazeni profilu uzivatela, vybere prispevkov, komentarov, fotiek atd. Cize toto uzivatleske ID sa zobrazuje v URL alebo aj napr. v JS funkciach. No nedavno som cital clanok, kde niekto pisal, ze je uplna hlupost ak je uzivatelske ID takto zobrazovane(viditelne). Preto sa chcem opytat, ci z hladiska bezpecnosti je to naozaj "nevhodny" spôsob ak v mojom pripade toto uzivatelske ID v ziadnej tabulke nema nastavenu hodnotu PRIMARY ani AUTO_INCREMENT.
2. Nedavno sa mi po nacitani mojej stranky (prehliadac FIREFOX) zacala zobrazovat hlaska: Toto pripojenie nie je dôveryhodné Preto by som sa chcel opytat, akym spôsobom, resp. co presne by malo byt obsiahnute v kode aby prehliadac vyhodnotil moju stranku ako dôveryhodnu, teda aby pripojenie na moju stranku bolo zabezpecene. Privitam kazdu radu alebo link k tymto otazockam..Dakujem.
|
|
Registrovaný: 27.08.09 Prihlásený: 08.07.15 Príspevky: 169 Témy: 46 |
ked je uzivatel prihlaseny na upravu a zobrazenie jeho vlastneho rpofilu mozes toto id ulozit do session. Na zobrazovanie ostatnych uzivatelov mozes pouzit toto id v url: profile.php?userid=ID v php toto mozes osetrit takto: Kód: if (isset($_GET['userid']) && is_numeric($_GET['userid'])) return true; // ak by nebolo ciselne mozes uzivatela presmerovat niekde 2. myslim ze toto sa zobrazuje ak pouzivas SSL certifikat, ktory sa nezhoduje s domenou alebo je neplatny
|
|
Registrovaný: 21.09.08 Prihlásený: 14.11.17 Príspevky: 225 Témy: 74 Bydlisko: Michalovce |
Este by som chcel doplnit, ze to uzivatelske ID nie je nahodne vygenerovany kluc a teda nemeni sa pri kazdom prihlaseni sa na stranku. Lebo som si vsimol, ze na niektorych domenach je po kazdom prihlaseni pre uzivatela vygenerovany nejaky "kluc", ktory je nasledne zobrazovany v URL alebo v JS funkciach. Preto ma zaujima ci prave priame zobrazovanie ID uzivatela nezvysuje riziko "hacknutia" stranky resp. uctu uzivatela.
K odpovedi na moju druhu otazku. Ja SSL certifikat nepouzivam, tak teraz celkom tomu nerozumiem.
|
|
Registrovaný: 27.08.09 Prihlásený: 08.07.15 Príspevky: 169 Témy: 46 |
1. - ak tam budes mat is_numeric ochranu tak by sa to nemalo dat hacknut kedze php ta pusti dalej v scripte len ak je hodnota v $_GET ciselna. - mozes si to id encryptovat napriklad cez base64 a potom zistovat ci je tento encryptovany string validny base64 a ci je decryptovana hodnota ciselna: Kód: $uid = 10; $encode = base64_encode($uid);
function valid_base64($str) { if(base64_decode($str, true) && is_numeric(base64_decode($str))) { return true; } else { return false; } } var_dump(valid_base64($encode));
2. Ak to mas nahodene na nete tak posli odkaz, neviem co by to mohlo sposobovat
|
|
Registrovaný: 09.05.13 Prihlásený: 05.02.14 Príspevky: 4 Témy: 2 |
Preco by malo byt nebezpecne davat user_id do URLky ? Tym ze je v URL to IDecko pouzivatela maximalne moze niekto zistit ze user s takym ID existuje, nemoze ale zistit o nom ziadne udaje ani jeho heslo ani nic podobne. Ja by som sa skor zameral na dostatocne zabezpecenie session a cookies. A okrem toho ako ste pisali o tej funkcii is_numeric(), podla mna je lepsia funkcia is_int() resp takyto kod ... Kód: $user_id = 123; // toto sa ziska napr. z databazy $user_id_is_valid = ((string)(int)$user_id == ((string)$user_id)); Ak by ste pouzili is_numeric() alebo is_int() tak ... Kód: $user_id = "123"; // string is_int($user_id) // FALSE !!! ... ale ... Kód: $user_id = "123"; // string $user_id_is_valid = ((string)(int)$user_id == ((string)$user_id)); // TRUE ! Zalezi od situacie, ak je na 100% iste ze $user_id je cislo tak by som pouzil is_int().
|
|
Registrovaný: 21.02.06 Prihlásený: 08.12.14 Príspevky: 5404 Témy: 30 Bydlisko: Bratislava | Napísal shaggy: 24.08.2013 22:04 | |
|
peryglux - najprv napíšeš, že predávanie user_id v URL je ok a potom mu dáš príklad, ktorý mu fungovať nebude (ten druhý kód). Ak by to id totiž vyťahoval z URL (napr. cez $_GET['user_id']), tak to bude vždy string a tým pádom is_int bude false (aj keď to z pohľadu db bude v poriadku).
_________________ Neradím a nekomunikujem cez SS, ak niečo potrebujete, máte iné možnosti: Ak vám zmizla téma, alebo sa vám niečo nepáči. Ak potrebujete nahlásiť príspevok/človeka, reportujte ho. Ak máte s niečim problém, riešte to v danej téme. |
|
| Stránka: 1 z 1
| [ Príspevkov: 6 ] | |
Podobné témy | Témy | Odpovede | Zobrazenia | Posledný príspevok |
---|
| nenacitava stranky, najma stranky.com;po restarte nacita v Sieťové a internetové programy | 2 | 791 | 17.03.2012 20:17 Siriuse | | bezpecnost v PHP, ASP | 6 | 616 | 05.02.2008 16:27 p360t | | akú bezpečnosť v Bezpečnosť a firewally | 18 | 2417 | 06.08.2007 13:05 Rbot | | VB-bezpečnosť v Delphi, Visual Basic | 6 | 792 | 21.05.2009 11:41 Fico | | Bezpečnosť MYSQL v PHP, ASP | 2 | 564 | 15.03.2008 18:55 Tominator | | Bezpečnosť videa v Krčma | 11 | 623 | 30.01.2012 9:39 TESLA | | Bezpecnost routeru v Bezpečnosť a firewally | 1 | 739 | 28.11.2009 11:32 Jaro | | Bezpečnosť obrázkov v PHP, ASP | 8 | 613 | 10.01.2009 21:08 shaggy | | Bezpečnosť Windows v Antivíry a antispywary | 7 | 620 | 17.11.2015 13:33 shiro | | SKYPE bezpečnosť v Sieťové a internetové programy | 3 | 1222 | 07.05.2010 15:32 tonky51 | | bezpečnosť webu v PHP, ASP | 12 | 578 | 18.02.2013 15:18 PepperSK | | Bezpečnosť ICQ [ Choď na stránku: 1, 2 ] v Bezpečnosť a firewally | 30 | 5920 | 19.08.2007 23:09 piskvorko | | Bezpečnosť COOKIE v PHP, ASP | 17 | 1093 | 25.10.2008 14:02 Tominator | | Bezpečnosť $_COOKIE v PHP, ASP | 29 | 605 | 18.11.2014 19:02 JanoF | | Bezpečnosť webu v Ostatné | 1 | 328 | 22.02.2016 19:08 chrono | | [VYRIESENE] Bezpečnosť skriptu v PHP, ASP | 25 | 835 | 20.02.2009 13:44 Tominator |
| Nemôžete zakladať nové témy v tomto fóre Nemôžete odpovedať na témy v tomto fóre Nemôžete upravovať svoje príspevky v tomto fóre Nemôžete mazať svoje príspevky v tomto fóre
|
|