Ochrana PHP skriptov a vy

Ty asi nevieš čítať, celý čas som jajimu vysvetľoval, akým spôsobom sa dá ukradnúť celá relácia, nie hodnoty! Hodnoty by sa dali ukradnúť napríklad cez PHP injection.

Viac: http://www.google.com/search?q=PHP+injection
SK: http://www.google.com/search?hl=sk&q=PH ... lr=lang_sk

Hodnoty sessionov by sa dali ukradnúť (aj zmeniť) tak, že si na hostingu a útočník tam má tiež konto. Ide na tvoju stránku, prihlási sa, v cookies si pozrie session_id. Na svojej stránke si nastaví ten istý session_id() a môže krásne prezerať skryté hodnoty, aj ich meniť.
Funguje to vďaka tomu, že session files sa ukladajú defaultne v /tmp, kam majú prístup aj ostatní zákazníci hostingovej spoločnosti.
Preto je lepšie používať nejaký session handling, napr. cez db a pod.

premazane od hovadin a zavadzajucich prispevkov

Potreboval by som poradiť s kódovaním php. Teda nie znakové sady, ale zakódovanie súboru, aby bežnému užívateľovi nebolo čitateľné. Niečo ako [http://www.phpshield.com/].

Nemáte skúsenosti, či zakódovaný súbor by spolupracoval (napr. ako plugin - nie je podmienka) s phpRS?
Tiež nemusí byť uvedený phpshield, ale v nejakej podobnej cenovej relácii.

staci addslashes a htmlspecialchars na ochranu pred SQL injection a xss ?
chcel som dat htmlentities, ale to mi rozhadzuje znaky ako copyright, trademark a podobne....

podľa mňa áno ... ako základ ti postačí ja potom ešte cez str_replace nahrádzam percentá a úvodzovky ...

dobry napad.. nahradzas za entity, ze ?

jj

proti sql injection je vhodne pouzivat prepared statements.

nejake zaujimave citanie ohladom bezpecnostnych testov (v anglictine)

Som bol na prednáške, ktorú robil maník z owaspu. Keby ste niekedy niekde videli info o tom, že sa také čosi znova chystá, kašlite na všetko, aj keby ste zrovna mali ísť na pohreb, oplatí sa ísť.

tiez som bol a mozem len odporucit.

Hej, a čo takto si ešte svoj web preskenovať cez nejakú tú utlitu proti bezpečnostným chybám ako Acunetix Web Vulnerability Scanner? Podla mňa to by celkom pomohlo...

co vravite na ochranu SESSION a na ochranu vstupu do administracneho panela? stretol som sa s vela nazormi a skoro nikto to nemal zabezpecene kompletne

Nikdy nemôžeš vedieť, či sa niekomu nepodarí uhádnuť (príp. ukradnúť) heslo do administrácie. Bez ochrany to útočníkovi ešte uľahčíš.

No neviem čo si predstavuješ pod "ochranou" SESSION, ale rozhodne treba administráciu zabezpečiť .. a najlepšie kompletne, aj keď nikdy to nebude 100%, lebo to sa ani nedá Teda treba urobiť všetko čo sa dá

mal som namysli, ze ako ochranujete SESSION alebo vstup do administracie... lebo vacsinou to robia ludia tak, ze daju do SESSION premennu prava = 1 a s tym kontroluju ci ma niekto prava na administraciu... podla mna to nieje velmi bezpecne

Ja to robím tak, že pri každom načítaní stránky v administrácie skontrolujem všetky práva pomocou databázy. Session používam výlučne na identifikáciu užívateľa s ID relácie.

aj ja, kontrolujem s databazou ale aj SESSION kontrolujem aj s IP a prehliadacom... ci sa shoduju ked sa prihlasoval a ked ide do administrativneho panela

No tak moja obrana je:
PHP - Blowfish HASH (256-bitov)
Zákaz uploadovania súborov s príponov: // Pokiaľ je to treba.
XHTML,JS,VBS,PHP,ActiveScript,PostScript.
Kontrola inputov:
htmlspecialchars();
mysql_real_escape_string();
addslashes();
Kontrola SESSIONS, GET, POST. // z 90-tich % používam POST.
Kontrola prístupu ku kódu pomocou define a defined (aj ja to mám z PHPBB).
Prístup LEN cez index.php.
Databáza kompletne s registračnými údajmi zaHASHovaná, hlavne: Nick,mail,password.
Pre posielanie citlivých dát, databáza.

čo tým myslíš?

switch($stranka)
{
case 0:

break;
default:
Header("Location: index.php");
}

WTF ?

@blackshadow: Pravda, ja si to neviem predstaviť, všetko zahashované

blackshadow: vlamem sa do serverovne, skopirujem si tvoju db. predpokladam ze mam nick a zahashovane heslo. skusim rainbow tables na heslo, podari sa, pouzijem nick + heslo a som dnu.
unho musis rozhashovat aj nick inak vie dost porobit bordel aj to, ked pouzijes nie klasicke hash funkcie (md5, sha1) a pouzijes odlisne na heslo aj na nick. nejedna sa o 100% ochranu, ale pokial utocnik nema superpc, tak kym sa mu podari utok uskutocnit tak by si mal byt schopny podniknut kroky proti -> napriklad modifikacia all hesiel a nasledny kontakt userov atp. (to som iba nacrtol)

//a hlavne je tam faktor "admin je debil pm," ked vidis ze niekto s nickom prasopes napise nieco podobne, ma to nanho neblahy vplyv pokial vidis ze to napisal "X4546Đ[]đ[][..." tak sa na to vybodnes:)

Alebo skopirujem php subor s prihlasovanim a zmenim ho, ako sa mi paci a si na tom istom Ked uz mam pristup k suborom, tak je to v riti tak ci tak..

som myslel ze to s tym vlamanim pochopis
a ked uz ma pristup k suborom tak
sic pravda ze som sa nevyjadril presne -> pod utokom som si tu predstavoval pristup ku vsetkym udajom v db a ich pouzitie.
a nema to nic s tym, ze "ale aj tak je to uz v keli." toto je zmiernovanie skod. kebyze buchnu mochovce a zamietnu evakuaciu s argumentom "aj tak su uz oziareny," tak by to moc nepreslo:)

Nick snáď nikto nehashuje. Okrem teba Proti rainbow tables sa používa salted hash. Hash nicku ti nepomôže v ničom, môže iba skomplikovať.

ja hashujem iba heslo... nick email je kravina, ked niekto zabudne heslo tak ako zistim aky ma nick? nemam to s cim porovnat a ked on napise tak moze napisat aj inych