Ochrana PHP skriptov a vy

Blackshadow · Napísal **Blackshadow**: 03.04.2008 21:46

Zdravim,
pomocou
javascript: void(document.forms[0].elements[0].value='volaco');
viem menit hodnoty poli vo forme, ale co v pripade, ze tam form nieje, ale iba inputy type="text" alebo hidden a jeden type="button", ktory to asi odosiela??

da sa to aj tak zmenit?? diki

rozmyslam, ze je to bezpecnejsie ako form

shaggy · Napísal **shaggy**: 03.04.2008 22:01

A ako to súvisí s ochranou php skriptov?

Blackshadow · Napísal **Blackshadow**: 03.04.2008 22:22

ze ti vedia menit hiddeny vo forme... a to nechcem.. ale ked to nedam ako form, da sa to tiez?

shaggy · Napísal **shaggy**: 03.04.2008 23:10

Úprimne - ak máš nejaký hidden input, vieš si ho meniť aj ty, bez javascriptu. Preto si musíš všetko kontrolovať na strane servera, nevyužívať na to kontrolu na strane používateľa. Problém je v tom, že ak už raz odosielaš nejaké dáta na server, môžu byť podvrhnuté. Takže nezáleží, akým spôsobom sa vkladajú, ide iba o to, či máš dostatočne dobrú kontrolu na strane servera.

Blackshadow · Napísal **Blackshadow**: 04.04.2008 15:18

aha.. cize najlepsie je, moc tie hiddeny nepouzivat, ale radsej zapisovat do session ??

mondzo · Napísal **mondzo**: 04.04.2008 16:04

Kludne pouzivaj aj hidden input fields, ale myslim, co chcel shaggy povedat, ze najdolezitejsia je validacia po odoslani formy a teda vsetkeho, co prichadza od uzivatela. Proste co najlepsie ako len vies filtrovat vsetky vstupy.

TO je napr. ak vies, cez person_id ma by len int cislo, tak ho na to kontroluj, ked zadavaju meno, priezvisko tak po odoslani skontroluj len povolene znaky a to pismena a napr. pomlcka este moze byt v mene, ak zadavaju vek, zase len int cislo, ktore moze byt od 1-110 dajme tomu atd. atd. -> existuje strasne toho vela.

Proste nikdy never svojim uzivatelom

a ich vstupom

.
CEST

shaggy · Napísal **shaggy**: 04.04.2008 16:19

Presne tak - je jedno, či hidden políčka používaš, alebo nie. Podstatné je, či ich kontroluješ pri každom odoslaní.
Nie, že do nich vložíš niečo, čo si predtým skontroloval a viackrát to nebudeš kontrolovať.

Blackshadow · Napísal **Blackshadow**: 04.04.2008 16:52

diki chlapy.. idem teraz do velkeho projektu dost, tak viem coho sa vyvarovat...

Blackshadow · Napísal **Blackshadow**: 02.06.2008 18:20

ako zmazat prebytocne zariadkovanie, ktore niekto pouzil v textarei ??
pouzil som funkciu nl2br() pre prevod na br tagy, ale mam napr takto:

Kód:

nejaky text
<br />
<br />
<br />
<br />
<br />
<br />
dalsi text

a ako docielit, aby tam mohla byt max 1 medzera??

inac co je lepsie, davat tieto funckie ako prve a zapisat tak do db, alebo az pri vypise ich pouzit?

pepek92 · Napísal autor témy **pepek92**: 02.06.2008 18:42

Až pri výpise. Tak isto, ako to máš pri BBCode. Výhoda je v tom, že to môžeš pri vypisovaní meniť. Ale čo raz dáš do DB, už nezmeníš (myslím úpravy v texte, teraz).

Skús toto:

Kód:

while (ereg("\r\n\r\n", $string)) {
$string = str_replace("\r\n\r\n", "\r\n", $string);
}

Tuto je príklad:

Kód:

<?

$string = $_POST['ss'];

while (ereg("\r\n\r\n", $string)) {
$string = str_replace("\r\n\r\n", "\r\n", $string);
}
echo $string;

?>
<form method="post">
<textarea name="ss"></textarea> <input type="submit">
</form>

stenley · Napísal **stenley**: 02.06.2008 19:07

Uz to tu raz bolo riesene: http://www.pcforum.sk/odstranenie-prazdnych-riadkov-vt35146.html#317332

Blackshadow · Napísal **Blackshadow**: 02.06.2008 20:09

diki chlapy za rychlu odpoved..
hladal som, ale nie dostatocne, sorry..

exoomer · Napísal **exoomer**: 02.06.2008 21:12

nejak sa do php nevyznam a co som tu pozeral nieco tu hovorite o include. Pouzivam na svjovom webe include

Kód:

<? Include("nieco.php"); ?>

aby som nemusel prepisovat vzdy po nejakej zmene vsetky subory, ale len ten nieco.php. Da sa to nejak zneuzit? popripade ako sa proti tomu ochranim.

lebo ak dobre viem tak zle to moze dopadnut len s <?php include $_GET[ "nieco.php" ] ?>

suchy · Napísal **suchy**: 02.06.2008 21:17

v tomto pripade ako to uvadzas ty to nieje zneuzitelne

rooobertek · Napísal **rooobertek**: 09.07.2008 8:14

proti php injection, ako to tu nazývate, používam to, že nepoužijem somarinu typu

Kód:

include($_GET['filename'].'.jpg')

, ale switch case, ak sa to dá použiť, prípadne filtrovanie dát pomocou preg_match, v lepšom prípade ak to je číslo, tak niekde hodím intval() alebo settype().

proti sql injection to je o čosi zložitejšie, samozrejme pri číslach viď vyššie, iné hodnoty pomocou preg, mysql_real_escape_string, prípadne ak sa to dá, tak skomprimovať pomocou zlib alebo niečoho iného a dáta sa uložia v binárnej forme.

Rád by som upozornil na to, že nemôžete veriť ani $_SERVER['HTTP_REFERER'], $_SERVER['HTTP_USER_AGENT'] a pod., keďže sú to hodnoty prichádzajúce od klienta. Všetko, čo prichádza od klienta je potencionálne nebezpečné

Pozor aj na buffer overflow, odporúčam hodiť do googla.

jaji · Napísal **jaji**: 09.07.2008 16:19

da sa nejak "podvrhnut session"? Viem ye je to na strane servera takye teoreticky by sa to nemalo dat, ale predsa sa radsej pytam.

pepek92 · Napísal autor témy **pepek92**: 09.07.2008 17:04

Stačilo by, ak by si "niekto" poslal odkaz na stránku, pričom by sa v adrese objavilo ID relácie. Ty by si len vložil toto ID relácie do cookies (vo Firefoxe bez problémov) a je to. Máš prístup ku kontu "niekoho"...Ovšem, ak bol prihlásený

jaji · Napísal **jaji**: 09.07.2008 19:13

ja som myslel nieco taketo:

login.php

session_start();
if ($_POST['heslo']=="tajne")
{ $_SESSION['prihlaseny']=true;
header("location: lenpreprijhlasenych.php");
}
else die("Zle heslo");

lenpreprijhlasenych.php

session_start();
if ($_SESSION['prihlaseny']==true) echo "Si prihlaseny";

Da sa toto nejako zneuzit, teda prihlasit sa bez toho, aby si vedel heslo<?

pepek92 · Napísal autor témy **pepek92**: 09.07.2008 19:29

Dá sa to napríklad aj cez nezabezpečený príkaz do databázy - SQL injection. Alebo ukradnutím relácie (ako som písal ja 3 príspevky hore).

jaji · Napísal **jaji**: 09.07.2008 19:30

pepek92, mozes uviest kod ukradnutím relácie implikovany na moj skript?

pepek92 · Napísal autor témy **pepek92**: 09.07.2008 19:33

Ale veď na to nie je kód :lol:

Ako som napísal, stačí aby ti niekto poslal link na nejakú stránku, na ktorej je prihlásený, typ:

http://www.nejakastranka.sk/skryta-stranka.php?sid=XYZ

Ty potom (neviem, či sa to dá bez rozšírenia) vo (napr.) Firefoxe pridáš cookies k danej stránke, kde sa bude nachádzať ID relácie - v tomto prípade XYZ - , alebo stačí ak zadáš do prehliadača rovnakú adresu, ako ti dotyčná osoba poslala. Tým pádom "zhrabneš" jeho konto, v stave prihlásenia (pokiaľ sa nestihne odhlásiť).

jaji · Napísal **jaji**: 09.07.2008 19:37

...ale to by niekto musel vediet spravny sid, nie?

pepek92 · Napísal autor témy **pepek92**: 09.07.2008 19:39

Veď ten "správny SID" by sa preniesol v adrese. Táto možnosť by padla, kebyže dotyčná osoba odstráni z adresy ID relácie (=SID).

jaji · Napísal **jaji**: 09.07.2008 19:54

prepac, moc sa v tom nevyznam. A ten sid sa kam uklada (do cookies?? ) ? Lebo ja ked si robim na localhoste, tak nevidim za url nijake "sid"...

pepek92 · Napísal autor témy **pepek92**: 09.07.2008 19:57

Áno, aj v tom je ten háčik

Pre tých, čo majú zakázané v prehliadači cookies sa automaticky pridá do url sid=XYZ. Avšak, ak to máš v PHP povolené. Defaultne sa ukladá ID relácie do cookies.

jaji · Napísal **jaji**: 09.07.2008 20:08

takze kvoli tomu bacha ba xss utoky, tominator ( http://www.pcforum.sk/slovakchat-vt34730-300.html ).

pepek92, a ako sa da tomu zabranit, ak uzivatel ma vypnute cookies a odosiela sa sid potencionalnemu utocnikovi?? Existuje nejaka vylepsena forma prihlasovania cez session, aby sa to nedalo zneuzit?

pepek92 · Napísal autor témy **pepek92**: 09.07.2008 20:13

No napríklad, že by si overal aj IP adresu užívateľa, browser a podobne

Najlepším riešením je jednoducho odmietnuť užívateľa prihlásiť sa bez zapnutých cookies. Áno, viem, nie je to príliš najvhodnejšie riešenie z pohľadu prístupnosti, ale stále lepšie, ako vyhadzovať SID do adresy.

jaji · Napísal **jaji**: 09.07.2008 21:52

OK, diky pepek92. Urcite to momohlo viacerym.

pepek92 · Napísal autor témy **pepek92**: 10.07.2008 10:36

Ty tvrdíš, že iba v zle nastavených serveroch? A ako potom chceš prepojiť užívateľa (+ identifikátor relácie) s danou reláciou? Lanom?

Citácia:

SESSION k svojmu správnemu fungovaniu využíva COOKIEs. Samotná relácia je riadená priradeným popisovačom čo je vlastne PHP ID (zašifrované náhodné číslo ktoré je uložené u klienta ako COOKIEs), to odkazuje na SESSION uložené na serveri.

http://blog.peteroravec.net/zaklady-ses ... acii-v-php

Tominator · Napísal **Tominator**: 10.07.2008 10:39

www.linuxsoft.cz píše:

Použije buďto cookie, nebo předá identifikátor session jako parametr do url

v podstate iba identifikátor a ten je zašifrovaný, session hodnoty cez cookies či URL nezmeníš

Ochrana PHP skriptov a vy

Podobné témy