[ Príspevkov: 153 ] 1, 2, 3, 4, 5, 6
AutorSpráva
Offline

Užívateľ
Užívateľ
Obrázok užívateľa

Registrovaný: 21.01.07
Prihlásený: 30.11.14
Príspevky: 660
Témy: 53 | 53
Napísal autor témyOffline : 10.07.2008 10:42 | Ochrana PHP skriptov a vy

Ty asi nevieš čítať, celý čas som jajimu vysvetľoval, akým spôsobom sa dá ukradnúť celá relácia, nie hodnoty! Hodnoty by sa dali ukradnúť napríklad cez PHP injection.

Viac: http://www.google.com/search?q=PHP+injection
SK: http://www.google.com/search?hl=sk&q=PH ... lr=lang_sk


Offline

Skúsený užívateľ
Skúsený užívateľ
Ochrana PHP skriptov a vy

Registrovaný: 09.07.08
Prihlásený: 17.01.15
Príspevky: 1586
Témy: 96 | 96
NapísalOffline : 10.07.2008 10:58 | Ochrana PHP skriptov a vy

Hodnoty sessionov by sa dali ukradnúť (aj zmeniť) tak, že si na hostingu a útočník tam má tiež konto. Ide na tvoju stránku, prihlási sa, v cookies si pozrie session_id. Na svojej stránke si nastaví ten istý session_id() a môže krásne prezerať skryté hodnoty, aj ich meniť.
Funguje to vďaka tomu, že session files sa ukladajú defaultne v /tmp, kam majú prístup aj ostatní zákazníci hostingovej spoločnosti.
Preto je lepšie používať nejaký session handling, napr. cez db a pod.


Offline

Čestný člen
Čestný člen
Ochrana PHP skriptov a vy

Registrovaný: 17.10.06
Prihlásený: 08.01.11
Príspevky: 1757
Témy: 17 | 17
NapísalOffline : 10.07.2008 11:55 | Ochrana PHP skriptov a vy

premazane od hovadin a zavadzajucich prispevkov


_________________
A Real Programmer might or might not know his wife's name. He does, however, know the entire ASCII code table.
Offline

Čestný člen
Čestný člen
Ochrana PHP skriptov a vy

Registrovaný: 17.10.06
Prihlásený: 08.01.11
Príspevky: 1757
Témy: 17 | 17
NapísalOffline : 10.07.2008 13:45 | Ochrana PHP skriptov a vy

http://blackhole.sk/topicupload-suborov ... if-obrazky


_________________
A Real Programmer might or might not know his wife's name. He does, however, know the entire ASCII code table.
Offline

Užívateľ
Užívateľ
Obrázok užívateľa

Registrovaný: 22.03.07
Prihlásený: 14.10.13
Príspevky: 9
Témy: 4 | 4
NapísalOffline : 02.08.2008 23:40 | Ochrana PHP skriptov a vy

Potreboval by som poradiť s kódovaním php. Teda nie znakové sady, ale zakódovanie súboru, aby bežnému užívateľovi nebolo čitateľné. Niečo ako [http://www.phpshield.com/].

Nemáte skúsenosti, či zakódovaný súbor by spolupracoval (napr. ako plugin - nie je podmienka) s phpRS?
Tiež nemusí byť uvedený phpshield, ale v nejakej podobnej cenovej relácii.


Offline

Užívateľ
Užívateľ
Ochrana PHP skriptov a vy

Registrovaný: 09.09.07
Prihlásený: 07.11.16
Príspevky: 3128
Témy: 233 | 233
Bydlisko: Nové Zámky
NapísalOffline : 31.10.2008 17:19 | Ochrana PHP skriptov a vy

staci addslashes a htmlspecialchars na ochranu pred SQL injection a xss ?
chcel som dat htmlentities, ale to mi rozhadzuje znaky ako copyright, trademark a podobne....


_________________
"It took a lot of work, but this latest Linux patch enables support for machines with 4096 CPUs, up from the old limit of 1024." "Do you have support for smooth full-screen flash video yet?" "No, but who uses that?"
- ak dlho neodpisujem do témy, zabudol som na ňu, takže ma upozornite SS, ak chcete moju odpoveď
Offline

Užívateľ
Užívateľ
Obrázok užívateľa

Registrovaný: 21.02.07
Prihlásený: 21.02.10
Príspevky: 3991
Témy: 96 | 96
NapísalOffline : 31.10.2008 19:08 | Ochrana PHP skriptov a vy

podľa mňa áno ... ako základ ti postačí ja potom ešte cez str_replace nahrádzam percentá a úvodzovky ...


Offline

Užívateľ
Užívateľ
Ochrana PHP skriptov a vy

Registrovaný: 09.09.07
Prihlásený: 07.11.16
Príspevky: 3128
Témy: 233 | 233
Bydlisko: Nové Zámky
NapísalOffline : 31.10.2008 19:17 | Ochrana PHP skriptov a vy

dobry napad.. nahradzas za entity, ze ?


_________________
"It took a lot of work, but this latest Linux patch enables support for machines with 4096 CPUs, up from the old limit of 1024." "Do you have support for smooth full-screen flash video yet?" "No, but who uses that?"
- ak dlho neodpisujem do témy, zabudol som na ňu, takže ma upozornite SS, ak chcete moju odpoveď
Offline

Užívateľ
Užívateľ
Obrázok užívateľa

Registrovaný: 21.02.07
Prihlásený: 21.02.10
Príspevky: 3991
Témy: 96 | 96
NapísalOffline : 31.10.2008 19:20 | Ochrana PHP skriptov a vy

jj


Offline

Čestný člen
Čestný člen
Ochrana PHP skriptov a vy

Registrovaný: 17.10.06
Prihlásený: 08.01.11
Príspevky: 1757
Témy: 17 | 17
NapísalOffline : 01.11.2008 10:14 | Ochrana PHP skriptov a vy

proti sql injection je vhodne pouzivat prepared statements.


_________________
A Real Programmer might or might not know his wife's name. He does, however, know the entire ASCII code table.
Offline

Čestný člen
Čestný člen
Ochrana PHP skriptov a vy

Registrovaný: 17.10.06
Prihlásený: 08.01.11
Príspevky: 1757
Témy: 17 | 17
NapísalOffline : 08.01.2009 18:26 | Ochrana PHP skriptov a vy

nejake zaujimave citanie ohladom bezpecnostnych testov (v anglictine)


_________________
A Real Programmer might or might not know his wife's name. He does, however, know the entire ASCII code table.
Offline

Skúsený užívateľ
Skúsený užívateľ
Ochrana PHP skriptov a vy

Registrovaný: 09.07.08
Prihlásený: 17.01.15
Príspevky: 1586
Témy: 96 | 96
NapísalOffline : 08.01.2009 18:42 | Ochrana PHP skriptov a vy

Som bol na prednáške, ktorú robil maník z owaspu. Keby ste niekedy niekde videli info o tom, že sa také čosi znova chystá, kašlite na všetko, aj keby ste zrovna mali ísť na pohreb, oplatí sa ísť.


_________________
neříkejte, že něco nejde udělat, protože se vždycky najde nějaký blbec, co neví, že to nejde – a udělá to!
Offline

Čestný člen
Čestný člen
Ochrana PHP skriptov a vy

Registrovaný: 17.10.06
Prihlásený: 08.01.11
Príspevky: 1757
Témy: 17 | 17
NapísalOffline : 08.01.2009 18:47 | Ochrana PHP skriptov a vy

tiez som bol a mozem len odporucit.


_________________
A Real Programmer might or might not know his wife's name. He does, however, know the entire ASCII code table.
Offline

Užívateľ
Užívateľ
Obrázok užívateľa

Registrovaný: 16.10.08
Prihlásený: 26.07.16
Príspevky: 82
Témy: 12 | 12
NapísalOffline : 04.02.2009 17:37 | Ochrana PHP skriptov a vy

Hej, a čo takto si ešte svoj web preskenovať cez nejakú tú utlitu proti bezpečnostným chybám ako Acunetix Web Vulnerability Scanner? Podla mňa to by celkom pomohlo...


Offline

Užívateľ
Užívateľ
Obrázok užívateľa

Registrovaný: 27.06.09
Prihlásený: 16.06.15
Príspevky: 154
Témy: 19 | 19
Bydlisko: Levice, Slo...
NapísalOffline : 25.08.2009 19:14 | Ochrana PHP skriptov a vy

co vravite na ochranu SESSION a na ochranu vstupu do administracneho panela? stretol som sa s vela nazormi a skoro nikto to nemal zabezpecene kompletne


Offline

Užívateľ
Užívateľ
Obrázok užívateľa

Registrovaný: 21.01.07
Prihlásený: 30.11.14
Príspevky: 660
Témy: 53 | 53
Napísal autor témyOffline : 25.08.2009 19:20 | Ochrana PHP skriptov a vy

Nikdy nemôžeš vedieť, či sa niekomu nepodarí uhádnuť (príp. ukradnúť) heslo do administrácie. Bez ochrany to útočníkovi ešte uľahčíš.


Offline

Užívateľ
Užívateľ
Obrázok užívateľa

Registrovaný: 21.02.07
Prihlásený: 21.02.10
Príspevky: 3991
Témy: 96 | 96
NapísalOffline : 26.08.2009 16:19 | Ochrana PHP skriptov a vy

No neviem čo si predstavuješ pod "ochranou" SESSION, ale rozhodne treba administráciu zabezpečiť .. a najlepšie kompletne, aj keď nikdy to nebude 100%, lebo to sa ani nedá :) Teda treba urobiť všetko čo sa dá :)


Offline

Užívateľ
Užívateľ
Obrázok užívateľa

Registrovaný: 27.06.09
Prihlásený: 16.06.15
Príspevky: 154
Témy: 19 | 19
Bydlisko: Levice, Slo...
NapísalOffline : 27.08.2009 14:21 | Ochrana PHP skriptov a vy

mal som namysli, ze ako ochranujete SESSION alebo vstup do administracie... lebo vacsinou to robia ludia tak, ze daju do SESSION premennu prava = 1 a s tym kontroluju ci ma niekto prava na administraciu... podla mna to nieje velmi bezpecne


Offline

Užívateľ
Užívateľ
Obrázok užívateľa

Registrovaný: 21.01.07
Prihlásený: 30.11.14
Príspevky: 660
Témy: 53 | 53
Napísal autor témyOffline : 27.08.2009 15:36 | Ochrana PHP skriptov a vy

Ja to robím tak, že pri každom načítaní stránky v administrácie skontrolujem všetky práva pomocou databázy. Session používam výlučne na identifikáciu užívateľa s ID relácie.


Offline

Užívateľ
Užívateľ
Obrázok užívateľa

Registrovaný: 27.06.09
Prihlásený: 16.06.15
Príspevky: 154
Témy: 19 | 19
Bydlisko: Levice, Slo...
NapísalOffline : 27.08.2009 15:39 | Ochrana PHP skriptov a vy

aj ja, kontrolujem s databazou ale aj SESSION kontrolujem aj s IP a prehliadacom... ci sa shoduju ked sa prihlasoval a ked ide do administrativneho panela


Offline

Užívateľ
Užívateľ
Obrázok užívateľa

Registrovaný: 01.07.08
Prihlásený: 02.10.09
Príspevky: 80
Témy: 26 | 26
NapísalOffline : 27.08.2009 21:10 | Ochrana PHP skriptov a vy

No tak moja obrana je:
PHP - Blowfish HASH (256-bitov)
Zákaz uploadovania súborov s príponov: // Pokiaľ je to treba.
XHTML,JS,VBS,PHP,ActiveScript,PostScript.
Kontrola inputov:
htmlspecialchars();
mysql_real_escape_string();
addslashes();
Kontrola SESSIONS, GET, POST. // z 90-tich % používam POST.
Kontrola prístupu ku kódu pomocou define a defined (aj ja to mám z PHPBB).
Prístup LEN cez index.php.
Databáza kompletne s registračnými údajmi zaHASHovaná, hlavne: Nick,mail,password.
Pre posielanie citlivých dát, databáza.


Offline

Užívateľ
Užívateľ
Obrázok užívateľa

Registrovaný: 13.06.09
Prihlásený: 15.04.17
Príspevky: 101
Témy: 15 | 15
Bydlisko: Prievidza
NapísalOffline : 27.08.2009 21:26 | Ochrana PHP skriptov a vy

Citácia:
Prístup LEN cez index.php.


čo tým myslíš?


Offline

Užívateľ
Užívateľ
Obrázok užívateľa

Registrovaný: 01.07.08
Prihlásený: 02.10.09
Príspevky: 80
Témy: 26 | 26
NapísalOffline : 27.08.2009 21:35 | Ochrana PHP skriptov a vy

switch($stranka)
{
case 0:

break;
default:
Header("Location: index.php");
}


Offline

Užívateľ
Užívateľ
Ochrana PHP skriptov a vy

Registrovaný: 09.09.07
Prihlásený: 07.11.16
Príspevky: 3128
Témy: 233 | 233
Bydlisko: Nové Zámky
NapísalOffline : 27.08.2009 21:48 | Ochrana PHP skriptov a vy

László145 píše:
Databáza kompletne s registračnými údajmi zaHASHovaná, hlavne: Nick

WTF ?


_________________
"It took a lot of work, but this latest Linux patch enables support for machines with 4096 CPUs, up from the old limit of 1024." "Do you have support for smooth full-screen flash video yet?" "No, but who uses that?"
- ak dlho neodpisujem do témy, zabudol som na ňu, takže ma upozornite SS, ak chcete moju odpoveď
Offline

Užívateľ
Užívateľ
Obrázok užívateľa

Registrovaný: 21.01.07
Prihlásený: 30.11.14
Príspevky: 660
Témy: 53 | 53
Napísal autor témyOffline : 27.08.2009 22:04 | Ochrana PHP skriptov a vy

@blackshadow: Pravda, ja si to neviem predstaviť, všetko zahashované :D


Offline

Užívateľ
Užívateľ
Ochrana PHP skriptov a vy

Registrovaný: 06.03.08
Prihlásený: 01.10.12
Príspevky: 1735
Témy: 15 | 15
Bydlisko: triminka@sp...
NapísalOffline : 27.08.2009 22:21 | Ochrana PHP skriptov a vy

blackshadow: vlamem sa do serverovne, skopirujem si tvoju db. predpokladam ze mam nick a zahashovane heslo. skusim rainbow tables na heslo, podari sa, pouzijem nick + heslo a som dnu.
unho musis rozhashovat aj nick :) inak vie dost porobit bordel aj to, ked pouzijes nie klasicke hash funkcie (md5, sha1) a pouzijes odlisne na heslo aj na nick. nejedna sa o 100% ochranu, ale pokial utocnik nema superpc, tak kym sa mu podari utok uskutocnit tak by si mal byt schopny podniknut kroky proti -> napriklad modifikacia all hesiel a nasledny kontakt userov atp. (to som iba nacrtol)

//a hlavne je tam faktor "admin je debil pm," ked vidis ze niekto s nickom prasopes napise nieco podobne, ma to nanho neblahy vplyv :D pokial vidis ze to napisal "X4546Đ[]đ[][..." tak sa na to vybodnes:)


_________________
Redeem the game of law! Despair the Billy, here are the morals! Come, relentless eraser rain, relentless eraser rain...
Offline

Užívateľ
Užívateľ
Ochrana PHP skriptov a vy

Registrovaný: 09.09.07
Prihlásený: 07.11.16
Príspevky: 3128
Témy: 233 | 233
Bydlisko: Nové Zámky
NapísalOffline : 28.08.2009 0:12 | Ochrana PHP skriptov a vy

Triminka píše:
blackshadow: vlamem sa do serverovne, skopirujem si tvoju db.

Alebo skopirujem php subor s prihlasovanim a zmenim ho, ako sa mi paci a si na tom istom :roll: Ked uz mam pristup k suborom, tak je to v riti tak ci tak..


_________________
"It took a lot of work, but this latest Linux patch enables support for machines with 4096 CPUs, up from the old limit of 1024." "Do you have support for smooth full-screen flash video yet?" "No, but who uses that?"
- ak dlho neodpisujem do témy, zabudol som na ňu, takže ma upozornite SS, ak chcete moju odpoveď
Offline

Užívateľ
Užívateľ
Ochrana PHP skriptov a vy

Registrovaný: 06.03.08
Prihlásený: 01.10.12
Príspevky: 1735
Témy: 15 | 15
Bydlisko: triminka@sp...
NapísalOffline : 28.08.2009 0:23 | Ochrana PHP skriptov a vy

som myslel ze to s tym vlamanim pochopis :P
a ked uz ma pristup k suborom tak
Jerk píše:
kym sa mu podari utok uskutocnit tak by si mal byt schopny podniknut kroky proti

sic pravda ze som sa nevyjadril presne -> pod utokom som si tu predstavoval pristup ku vsetkym udajom v db a ich pouzitie.
a nema to nic s tym, ze "ale aj tak je to uz v keli." toto je zmiernovanie skod. kebyze buchnu mochovce a zamietnu evakuaciu s argumentom "aj tak su uz oziareny," tak by to moc nepreslo:)


_________________
Redeem the game of law! Despair the Billy, here are the morals! Come, relentless eraser rain, relentless eraser rain...
Offline

Skúsený užívateľ
Skúsený užívateľ
Ochrana PHP skriptov a vy

Registrovaný: 09.07.08
Prihlásený: 17.01.15
Príspevky: 1586
Témy: 96 | 96
NapísalOffline : 28.08.2009 8:18 | Ochrana PHP skriptov a vy

Nick snáď nikto nehashuje. Okrem teba :D Proti rainbow tables sa používa salted hash. Hash nicku ti nepomôže v ničom, môže iba skomplikovať.


Offline

Užívateľ
Užívateľ
Obrázok užívateľa

Registrovaný: 27.06.09
Prihlásený: 16.06.15
Príspevky: 154
Témy: 19 | 19
Bydlisko: Levice, Slo...
NapísalOffline : 28.08.2009 9:55 | Ochrana PHP skriptov a vy

ja hashujem iba heslo... nick email je kravina, ked niekto zabudne heslo tak ako zistim aky ma nick? nemam to s cim porovnat ;) a ked on napise tak moze napisat aj inych


 [ Príspevkov: 153 ] 1, 2, 3, 4, 5, 6


Ochrana PHP skriptov a vy



Podobné témy

 Témy  Odpovede  Zobrazenia  Posledný príspevok 
V tomto fóre nie sú ďalšie neprečítané témy.

sprava PHP skriptov

v PHP, ASP

1

291

12.07.2009 13:00

p360t

V tomto fóre nie sú ďalšie neprečítané témy.

antispam ochrana na PHP forum

v Redakčné systémy

1

1424

28.03.2006 20:42

JanoF

V tomto fóre nie sú ďalšie neprečítané témy.

Výpis adresára cez PHP + Ochrana heslom

v Články

3

2453

27.04.2008 14:42

stenley

V tomto fóre nie sú ďalšie neprečítané témy.

Aka ochrana zariadenia (bleskoistka, prep. ochrana)

v Siete

2

227

06.10.2012 18:38

peto007

V tomto fóre nie sú ďalšie neprečítané témy.

spam ochrana, sql ochrana

v PHP, ASP

14

546

08.01.2011 23:56

Feko

V tomto fóre nie sú ďalšie neprečítané témy.

Rezidentná ochrana vs. rezidentná ochrana

v Antivíry a antispywary

6

886

23.04.2008 22:56

strongy

V tomto fóre nie sú ďalšie neprečítané témy.

PHP programátor - PHP, MySQL, jQuery,X)Html/CSS

v Ponuka práce

0

814

02.05.2011 12:08

magicmedia

V tomto fóre nie sú ďalšie neprečítané témy.

Vytvorenie suboru php a vlozenie php scriptu

v PHP, ASP

4

924

07.05.2010 14:02

DeiForm

V tomto fóre nie sú ďalšie neprečítané témy.

ochrana

v Antivíry a antispywary

8

755

24.01.2008 14:20

mimkork

V tomto fóre nie sú ďalšie neprečítané témy.

ochrana

[ Choď na stránku:Choď na stránku: 1, 2, 3 ]

v Antivíry a antispywary

73

2826

05.06.2008 15:51

Qpkqkma

V tomto fóre nie sú ďalšie neprečítané témy.

Ochrana

v Antivíry a antispywary

2

561

20.12.2007 12:42

shiro

V tomto fóre nie sú ďalšie neprečítané témy.

ochrana

v Elektronika

3

614

31.01.2008 16:53

bugi512

V tomto fóre nie sú ďalšie neprečítané témy.

Ochrana notebooku

v Antivíry a antispywary

13

670

12.12.2008 12:58

tantum

V tomto fóre nie sú ďalšie neprečítané témy.

ochrana kolien

v Zdravie, medicína, choroby a liečenie

4

554

18.09.2011 14:50

exoomer

V tomto fóre nie sú ďalšie neprečítané témy.

Prepäťová ochrana

v PC skrinky, zdroje a všetky druhy chladenia

9

514

21.09.2013 9:41

killer

V tomto fóre nie sú ďalšie neprečítané témy.

Rezidentná ochrana

v Antivíry a antispywary

3

735

24.12.2006 14:50

okramslayer



© 2005 - 2017 PCforum, edited by JanoF