[ Príspevkov: 73 ] 1, 2, 3
AutorSpráva
Offline

Užívateľ
Užívateľ
Obrázok užívateľa

Registrovaný: 20.11.07
Prihlásený: 18.01.09
Príspevky: 2934
Témy: 116 | 116
Napísal autor témyOffline : 18.12.2008 14:26 | Utok na vlastnu stranku

rooobertek nie ja praveze ju chcem spravit co najbezpecnejsiu v ramci mojich moznosti :D este tam nacpem stripslashes a mysql_real_escape_string a to mi asi staci nie ?
// este by som podotkol ze moj stranku asi moc vela ludi nebude hackovt z dovodu ze ju koli mojmu SEO ani poriadne nenajdu :-D


Offline

Skúsený užívateľ
Skúsený užívateľ
Utok na vlastnu stranku

Registrovaný: 09.07.08
Prihlásený: 17.01.15
Príspevky: 1586
Témy: 96 | 96
NapísalOffline : 18.12.2008 15:14 | Utok na vlastnu stranku

Hlavne sa na to nespoliehaj, že "veď načo by to niekto skúšal", to je výraz absolútneho amatérizmu. Na Slovensku asi 3/4 php-čkarov to tak bere.
Nie je to celkom tak, že by ti stačilo mysql_real_escape_stringa pod. To ťa SČASTI ochráni proti sql injection, ale je ešte veľa veľa vecí, ktorými ti môže niekto spraviť vrásky na čele. Napríklad buffer overflow by nenapadlo hocikoho hľadať v PHP. html_entities v starsich verziach PHP, na urcitych operacnych systemoch, dokaze spravit riadnu sarapatu, pad celeho systemu ak tam das niektore grecke znaky.
Treba stále čítať, stále sa objavujú nové útoky, prečítaj si aj staré veci, aktualizuj všetko, čo používaš vrátane free balíčkov ako cms, chat...
Môžeš spraviť všetko totál brutál bezpečné, necháš jednu malú medzeru a celý systém môže padnúť. Aj bankám sa stávajú takéto veci.

(sorry za preskakovanie medzi textom s diakritikou a bez)


_________________
neříkejte, že něco nejde udělat, protože se vždycky najde nějaký blbec, co neví, že to nejde – a udělá to!
Offline

Správca fóra
Správca fóra
Utok na vlastnu stranku

Registrovaný: 27.07.07
Príspevky: 3971
Témy: 51 | 51
Bydlisko: Bratislava
Vek: 32
NapísalOffline : 18.12.2008 15:21 | Utok na vlastnu stranku

este snad jedna poznamka: osetruj aj data, ktore tahas z db - na toto drviva vacsina ludi zabuda...


_________________
Desktop: CPU: AMD Athlon64 3000+ | MB: Biostar K8T890-A9 | VGA: NVIDIA GeForce 6200 LE 256MB | RAM: 2x 1GB A-DATA DDR 400 MHz Dual Kit | HDD: WD Caviar Blue 320GB | DVD: LG GSA-H10N | Keyboard: Chicony KU-0420 Silver/Black | Mouse: Logitech RX1000 | Zdroj: Corsair CX400 400W | CASE: DELUX DLC-MD370 Black | LCD: 20" Samsung 206BW | Repro: Teac XL-20
Notebook: ACER Aspire 4820TG 14" | CPU: Intel Core i5 2,53 GHz | VGA: ATI Mobility Radeon HD5650 1GB / Intel HD Graphics | RAM: 4GB DDR3 1066 MHz | HDD: 640GB
Offline

Užívateľ
Užívateľ
Obrázok užívateľa

Registrovaný: 21.02.07
Prihlásený: 21.02.10
Príspevky: 3991
Témy: 96 | 96
NapísalOffline : 18.12.2008 15:38 | Utok na vlastnu stranku

stenley píše:
este snad jedna poznamka: osetruj aj data, ktore tahas z db - na toto drviva vacsina ludi zabuda...

Ahoj stenley,
o tom som ešte nepočul. Nakoľko si myslím, že nebezpečenstvo vzniká pri čítaní zlých parametrov (nebezpečných). Nakoľko ich musíš mať v databáze uložené. Teda pokiaľ máš v databáze uložené všetko bezpečne, nemalo by sa stať, že by si spracovával nebezpečný kód. Nakoľko by si mal mať dobre zabezpečené knižnice a includy nemalo by sa stať, že sa ti do DB dostane niekto iný.

Teda mohli by sme povedať, že keď si to prefiltruješ pri vkladaní, malo by to byť prefiltrované pri čítaní. Teda kde je nebezpečenstvo?


Offline

Užívateľ
Užívateľ
Utok na vlastnu stranku

Registrovaný: 16.01.08
Prihlásený: 27.03.13
Príspevky: 646
Témy: 144 | 144
Bydlisko: Žilina
NapísalOffline : 18.12.2008 15:42 | Utok na vlastnu stranku

Tominator píše:
Nakoľko by si mal mať dobre zabezpečené knižnice a includy...


ja velmi do bezpecnosti neumim, preto sa pytam: ja bezne pouzivam include_once da sa includovat aj bezpecnejsie? ak ano, ako?

a ako je include_once napadnutelny?

DIK.


_________________
Mac Book Pro 15.4", CPU: Intel Core 2 Duo 2.8 GHz, RAM: 4GB DDR3, HDD: 500 GB, VGA: 512MB GDDR3, OS: Mac OS X Lion; Mobil: HTC ONE S
Offline

Skúsený užívateľ
Skúsený užívateľ
Utok na vlastnu stranku

Registrovaný: 09.07.08
Prihlásený: 17.01.15
Príspevky: 1586
Témy: 96 | 96
NapísalOffline : 18.12.2008 15:43 | Utok na vlastnu stranku

stenley, jj, to som zabudol spomenúť, whitelisting je momentálne najbezpečnejšia metóda.Robí sa väčšinou pomocou regexp - v php sú na to funkcie skupín preg a ereg.
Okrem toho, ak očakávaš, že vstup má byť číslo, použi settype($input,"integer") alebo intval, na desatinné čísla tiež settype alebo floatval...

Na veci v databáze sa nemôžete spoľahnúť, že nie sú zmenené útočníkom. Do databázy sa ti vždy môže niekto nabúrať. Neveril by si, aké heslá si dávajú niektorí admini na databázy. A nemenia ich aj niekoľko rokov.

max-m, pokiaľ includuješ takto: include_once("abc/settings.php"), je to v pohode, ale include_once($_GET['abc']) je už iná káva


_________________
neříkejte, že něco nejde udělat, protože se vždycky najde nějaký blbec, co neví, že to nejde – a udělá to!
Offline

Užívateľ
Užívateľ
Obrázok užívateľa

Registrovaný: 20.11.07
Prihlásený: 18.01.09
Príspevky: 2934
Témy: 116 | 116
Napísal autor témyOffline : 18.12.2008 15:48 | Utok na vlastnu stranku

Tak teda ja na strankach nepouzivam nic "cudzieho" vsetko iba moje kody a este k tym vraskam na cele a pade celeho systemu moji 3 uzivatelia by sa urcite znova regli takze tak :D
ale ano samozrejme treba citat o new utokoch a brant sa proti nim :)


Offline

Správca fóra
Správca fóra
Utok na vlastnu stranku

Registrovaný: 27.07.07
Príspevky: 3971
Témy: 51 | 51
Bydlisko: Bratislava
Vek: 32
NapísalOffline : 18.12.2008 15:54 | Utok na vlastnu stranku

>Tominator: ty sice zabezpecis vsetky vstupy prichadzajuce od uzivatela, ale to je len polka prace, ktoru musis urobit... a preco? niekto ti napadne databazu a vlozi tam skodlivy kod... nakolko neosetrujes data ziskane z db, kod sa pri nacitani stranky vykona... takze netreba sa spoliehat na to, ze v db su ulozene len spravne udaje...


_________________
Desktop: CPU: AMD Athlon64 3000+ | MB: Biostar K8T890-A9 | VGA: NVIDIA GeForce 6200 LE 256MB | RAM: 2x 1GB A-DATA DDR 400 MHz Dual Kit | HDD: WD Caviar Blue 320GB | DVD: LG GSA-H10N | Keyboard: Chicony KU-0420 Silver/Black | Mouse: Logitech RX1000 | Zdroj: Corsair CX400 400W | CASE: DELUX DLC-MD370 Black | LCD: 20" Samsung 206BW | Repro: Teac XL-20
Notebook: ACER Aspire 4820TG 14" | CPU: Intel Core i5 2,53 GHz | VGA: ATI Mobility Radeon HD5650 1GB / Intel HD Graphics | RAM: 4GB DDR3 1066 MHz | HDD: 640GB
Offline

Užívateľ
Užívateľ
Obrázok užívateľa

Registrovaný: 20.11.07
Prihlásený: 18.01.09
Príspevky: 2934
Témy: 116 | 116
Napísal autor témyOffline : 18.12.2008 15:55 | Utok na vlastnu stranku

a teda ako to mam teoreticky kontrolovat tie udaje z DB akou tou funkciou bo ja som taku nenasiel rooobertek :?


Offline

Užívateľ
Užívateľ
Utok na vlastnu stranku

Registrovaný: 16.01.08
Prihlásený: 27.03.13
Príspevky: 646
Témy: 144 | 144
Bydlisko: Žilina
NapísalOffline : 18.12.2008 15:59 | Utok na vlastnu stranku

to by som aj ja rad vedel.
ja este k tomu includovaniu: staci mi nieco taketo?

subor include_file.php:
Kód:
<?php
if ($ping != "pong") {
     exit('<h2>You cannot access this file directly!</h2>');
}
?>
  Your file content or the script to be executed goes here.


subor napr. index.php:
Kód:
<?php
   $ping = "pong";
    include_once("include_file.php");
?>


alebo sa to da lepsie - bezpecnejsie?


_________________
Mac Book Pro 15.4", CPU: Intel Core 2 Duo 2.8 GHz, RAM: 4GB DDR3, HDD: 500 GB, VGA: 512MB GDDR3, OS: Mac OS X Lion; Mobil: HTC ONE S
Offline

Užívateľ
Užívateľ
Obrázok užívateľa

Registrovaný: 21.02.07
Prihlásený: 21.02.10
Príspevky: 3991
Témy: 96 | 96
NapísalOffline : 18.12.2008 16:13 | Utok na vlastnu stranku

rozhodne sa snažte nepovoliž útoččníkovi čítanie vaších kódov. Mnoho programatorov používa config.php na uchovávanie informácií o prístupe na databázu. Pomocou .htaccess by preto mali mať povoleneé iba čítanie zo servera (teda nie z iného servera, rieši to tak aj phpBB).

>stenley: to mi je jasné ale nakoľko, máš config naozaj neprečítateľný a heslo je dlhé je prakticky nemožné dostať sa do databázy. Napr. na 18 miestne heslo by si potreboval neskutočnú výpočtovú techniku a pár rokov ...


Offline

Užívateľ
Užívateľ
Utok na vlastnu stranku

Registrovaný: 09.09.07
Prihlásený: 07.11.16
Príspevky: 3128
Témy: 233 | 233
Bydlisko: Nové Zámky
NapísalOffline : 18.12.2008 16:25 | Utok na vlastnu stranku

stenley píše:
>Tominator: ty sice zabezpecis vsetky vstupy prichadzajuce od uzivatela, ale to je len polka prace, ktoru musis urobit... a preco? niekto ti napadne databazu a vlozi tam skodlivy kod... nakolko neosetrujes data ziskane z db, kod sa pri nacitani stranky vykona... takze netreba sa spoliehat na to, ze v db su ulozene len spravne udaje...

tak ako mi niekto napadne DB tak isto mi moze napadnut aj FTP ucet, takze mam kontrolovat aj mnou napisany kod, alebo co ?


_________________
"It took a lot of work, but this latest Linux patch enables support for machines with 4096 CPUs, up from the old limit of 1024." "Do you have support for smooth full-screen flash video yet?" "No, but who uses that?"
- ak dlho neodpisujem do témy, zabudol som na ňu, takže ma upozornite SS, ak chcete moju odpoveď
Offline

Správca fóra
Správca fóra
Utok na vlastnu stranku

Registrovaný: 27.07.07
Príspevky: 3971
Témy: 51 | 51
Bydlisko: Bratislava
Vek: 32
NapísalOffline : 18.12.2008 16:34 | Utok na vlastnu stranku

to zas nemusis... ale skor ti mozu napadnut db ako ftp... db mas pristupnu z viacerych stran... najma zo stranky...
tiez som si raz myslel, ze mam vsetky vstupy osetrene a z nicoho nic som mal v kazdom poli typu text a varchar v celej db skodlivy kod... odvtedy si davam vacsi pozor... hovori sa tomu zdrava paranoia :) tusim este mam niekde ulozenu tu proceduru, ktora to vsetko spiskala...

ale ked naprosto doverujes datam v db, tak to neries... spomenul som to len ako dalsiu moznost ochrany...


_________________
Desktop: CPU: AMD Athlon64 3000+ | MB: Biostar K8T890-A9 | VGA: NVIDIA GeForce 6200 LE 256MB | RAM: 2x 1GB A-DATA DDR 400 MHz Dual Kit | HDD: WD Caviar Blue 320GB | DVD: LG GSA-H10N | Keyboard: Chicony KU-0420 Silver/Black | Mouse: Logitech RX1000 | Zdroj: Corsair CX400 400W | CASE: DELUX DLC-MD370 Black | LCD: 20" Samsung 206BW | Repro: Teac XL-20
Notebook: ACER Aspire 4820TG 14" | CPU: Intel Core i5 2,53 GHz | VGA: ATI Mobility Radeon HD5650 1GB / Intel HD Graphics | RAM: 4GB DDR3 1066 MHz | HDD: 640GB
Offline

Užívateľ
Užívateľ
Obrázok užívateľa

Registrovaný: 20.11.07
Prihlásený: 18.01.09
Príspevky: 2934
Témy: 116 | 116
Napísal autor témyOffline : 18.12.2008 17:51 | Utok na vlastnu stranku

Tominator akym sposobom mam dat iba citanie zo servera? :? bo aj ja mam riesene prihlasenie pomocou .htaccess


Offline

Skúsený užívateľ
Skúsený užívateľ
Utok na vlastnu stranku

Registrovaný: 24.01.08
Prihlásený: 13.09.17
Príspevky: 14691
Témy: 66 | 66
Bydlisko: Žilina
Vek: 30
NapísalOffline : 18.12.2008 18:03 | Utok na vlastnu stranku

stenley, a vysvetlíš nám, aký význam má ošetrovať vstupy z napadnutej DB ? pokiaľ ti do nej dakto získa prístup, tak je stránka v <> tak či tak :lol: jedine možno prípad, kedy by si mal stránku vo svojom pc a nejakým zvráteným spôsobom by sa im podarilo do db uložiť kód, ktorý by potom cez klienta pustili a dostali sa ti do pc, ale ....
neviem no, pripomína mi to dosť výroky roooberteka, ten keď mal windows, tak ho preinštaloval vždy, keď sa mu zdalo že by mohol byť potencionálne nakazený vírom :lol:


_________________
C#, PHP, ...
Offline

Správca fóra
Správca fóra
Utok na vlastnu stranku

Registrovaný: 27.07.07
Príspevky: 3971
Témy: 51 | 51
Bydlisko: Bratislava
Vek: 32
NapísalOffline : 18.12.2008 20:12 | Utok na vlastnu stranku

vyznam je taky, ze ak ti ju uz raz napadnu, tak nebudes dalej sirit virusy medzi navstevnikov tvojej stranky... co je dost podstatny "detail"...


_________________
Desktop: CPU: AMD Athlon64 3000+ | MB: Biostar K8T890-A9 | VGA: NVIDIA GeForce 6200 LE 256MB | RAM: 2x 1GB A-DATA DDR 400 MHz Dual Kit | HDD: WD Caviar Blue 320GB | DVD: LG GSA-H10N | Keyboard: Chicony KU-0420 Silver/Black | Mouse: Logitech RX1000 | Zdroj: Corsair CX400 400W | CASE: DELUX DLC-MD370 Black | LCD: 20" Samsung 206BW | Repro: Teac XL-20
Notebook: ACER Aspire 4820TG 14" | CPU: Intel Core i5 2,53 GHz | VGA: ATI Mobility Radeon HD5650 1GB / Intel HD Graphics | RAM: 4GB DDR3 1066 MHz | HDD: 640GB
Offline

Užívateľ
Užívateľ
Obrázok užívateľa

Registrovaný: 20.11.07
Prihlásený: 04.07.12
Príspevky: 405
Témy: 89 | 89
NapísalOffline : 18.12.2008 23:58 | Utok na vlastnu stranku

ja som sa nieco pytal ak ste si tu spravili debatny kruzok tak si spravte novu temu dobre?!

//neviem o tom, ze by si tuto temu zalozil ty... vsetko, co tu bolo povedane, je k teme, tak sa tu laskavo nerozkrikuj... (stenley)


Offline

Užívateľ
Užívateľ
Utok na vlastnu stranku

Registrovaný: 09.09.07
Prihlásený: 07.11.16
Príspevky: 3128
Témy: 233 | 233
Bydlisko: Nové Zámky
NapísalOffline : 19.12.2008 0:05 | Utok na vlastnu stranku

tiez sa mi to zda pritiahnute za usi...
to je ako keby, ze na dome zamkinam dvere, aby neprisiel zlodej, ale pred spanim sa vzdy pozrem do skrine, ci tam nahodou neni zlodej :D


_________________
"It took a lot of work, but this latest Linux patch enables support for machines with 4096 CPUs, up from the old limit of 1024." "Do you have support for smooth full-screen flash video yet?" "No, but who uses that?"
- ak dlho neodpisujem do témy, zabudol som na ňu, takže ma upozornite SS, ak chcete moju odpoveď
Offline

Správca fóra
Správca fóra
Utok na vlastnu stranku

Registrovaný: 27.07.07
Príspevky: 3971
Témy: 51 | 51
Bydlisko: Bratislava
Vek: 32
NapísalOffline : 19.12.2008 8:21 | Utok na vlastnu stranku

ked ti zalezi len na bezpecnosti "tvojich" dat, ale na navstevnikov uz "kasles", tak sa nemame o com bavit... vidno, ze este neberies uplne vazne bezpecnost webovych aplikacii...

bs, dam ti trosku iny priklad:
skuseni horolezci - vedia sa pohybovat po skalach ako nik a predsa pouzivaju istenie, lebo co ak... ale to mas jedno, povedal som, co som chcel povedat, mozno sa nad tym nikto nepozastavi, a mozno to bude pre niekoho dovod na zamyslenie... ale v kazdom pripade, clovek sa uci na vlastnych ale aj cudzich chybach... a o tom to vsetko je...


_________________
Desktop: CPU: AMD Athlon64 3000+ | MB: Biostar K8T890-A9 | VGA: NVIDIA GeForce 6200 LE 256MB | RAM: 2x 1GB A-DATA DDR 400 MHz Dual Kit | HDD: WD Caviar Blue 320GB | DVD: LG GSA-H10N | Keyboard: Chicony KU-0420 Silver/Black | Mouse: Logitech RX1000 | Zdroj: Corsair CX400 400W | CASE: DELUX DLC-MD370 Black | LCD: 20" Samsung 206BW | Repro: Teac XL-20
Notebook: ACER Aspire 4820TG 14" | CPU: Intel Core i5 2,53 GHz | VGA: ATI Mobility Radeon HD5650 1GB / Intel HD Graphics | RAM: 4GB DDR3 1066 MHz | HDD: 640GB
Offline

Užívateľ
Užívateľ
Obrázok užívateľa

Registrovaný: 20.11.07
Prihlásený: 04.07.12
Príspevky: 405
Témy: 89 | 89
NapísalOffline : 19.12.2008 8:54 | Utok na vlastnu stranku

ale potom hacking je blbost ved jako sa ti naburam na stranku ked je softwerovo a nedajboze este aj hardwerovo osetrena no tak to potom nemas sancu jak to je

admin spravi php sript kde ti nepovoli pristup k nicomu ako zasles poziadavku?ak sa vobec nejaka da zaslat.
to by si musel byt iny reverzak aby si to nasiel nie?co si myslis.iny reciprocaci chces povedat ze mitnick bol reciprocak jak svina?pochybujem
nic sa neda ked je funkcia nie na pristup tak mozes maximalne uhadnut heslo to je vsetko a ked nepoznas ramec paketa a vvsetko oklo toho ako je zanulajednotkovany tak to mozes zabalit nemas sancu

aa naco mi je odchyteny paket ked neviem jeho ramec

//pouzivaj edit (stenley)


Offline

Užívateľ
Užívateľ
Obrázok užívateľa

Registrovaný: 21.02.07
Prihlásený: 21.02.10
Príspevky: 3991
Témy: 96 | 96
NapísalOffline : 19.12.2008 9:29 | Utok na vlastnu stranku

el mariachi píše:
stenley, a vysvetlíš nám, aký význam má ošetrovať vstupy z napadnutej DB ? pokiaľ ti do nej dakto získa prístup, tak je stránka v <> tak či tak :lol: jedine možno prípad, kedy by si mal stránku vo svojom pc a nejakým zvráteným spôsobom by sa im podarilo do db uložiť kód, ktorý by potom cez klienta pustili a dostali sa ti do pc, ale ....
neviem no, pripomína mi to dosť výroky roooberteka, ten keď mal windows, tak ho preinštaloval vždy, keď sa mu zdalo že by mohol byť potencionálne nakazený vírom :lol:

tak zas musím sa stenleyho zastať, nakoľko má malú pravdu. Pre prípad, že niekto ti už 7 rok lúska tvoje heslo to DB a náhodou sa mu to podarí, a dostane sa dnu a urobití "šarapatu", je výhodné ošetriť si vstupy pred tým ako zmeníš heslo a spustíš zálohu. Prakticky to však až taký veľkýá zmysel nemá, lebo predsa nikto nebude čakať x rokov len nato aby si užil tie 2 hod slávy než si to všimneš a spustíš zálohu


Offline

Skúsený užívateľ
Skúsený užívateľ
Utok na vlastnu stranku

Registrovaný: 09.07.08
Prihlásený: 17.01.15
Príspevky: 1586
Témy: 96 | 96
NapísalOffline : 19.12.2008 9:29 | Utok na vlastnu stranku

Základ bezpečnosti je - všetko je nebezpečné okrem toho, čo som skontroloval podľa striktných pravidiel. Neverte ani vlastným dátam. Dokonca aj veci, ktoré máte v sessionoch treba kontrolovať. A zabezpečiť session proti ukradnutiu.
K tým databázam, naozaj nemôžte veriť tomu, že všetky údaje sú tam ok. Aj keď máte heslo dlhé 100 znakov.
Ešte jedna vec: stretol som sa s prípadom, že webová stránka nedobrovolne slúžila ako spambot. Bolo tam staré neaktualizované miniBB. Traffic im to spravilo tuším 20GB za mesiac.

euthanan, gratulujem, pridal si sa k 3/4 php-čkarov, o ktorých som hovoril na predchádzajúcej strane. Že nechápeš princípom, to neznamená, že sa ti nikto nenabúra do aplikácie a nebudeš servírovať svojím návštevníkom malware. A opakujem ti, zmeň rétoriku.


// Tominator, ale je možné, že sa k heslu dostane nejakým iným spôsobom. Napríklad bývalý zamestnanec, ktorého si vyhodil za neschopnosť. Alebo na hostingu ti vypadne PHP a odrazu všetky zdrojáky si môže ktokoľvek pozrieť a v nich budeš mať $password = "nbusr123"; Už som taký prípad zažil (aj keď to nebolo zrovna nbusr123). Kolegyňa chodila na jednu stránku (sociálna sieť) a zrazu pozerá, že prečo chce ten IE niečo sťahovať. Tak som išiel pozrieť a tam zdrojáky ako na dlani.



//tiez som uz zazil, ze na jednom nemenovanom slovenskom webhostingu "vypadlo" phpcko... bol to zaujimavy pohlad, ked sa zobrazil php kod namiesto ocakavanej grafickej casti stranky... (stenley)


_________________
neříkejte, že něco nejde udělat, protože se vždycky najde nějaký blbec, co neví, že to nejde – a udělá to!
Offline

Užívateľ
Užívateľ
Utok na vlastnu stranku

Registrovaný: 09.09.07
Prihlásený: 07.11.16
Príspevky: 3128
Témy: 233 | 233
Bydlisko: Nové Zámky
NapísalOffline : 19.12.2008 13:14 | Utok na vlastnu stranku

stenley píše:
ked ti zalezi len na bezpecnosti "tvojich" dat, ale na navstevnikov uz "kasles", tak sa nemame o com bavit... vidno, ze este neberies uplne vazne bezpecnost webovych aplikacii...

bs, dam ti trosku iny priklad:
skuseni horolezci - vedia sa pohybovat po skalach ako nik a predsa pouzivaju istenie, lebo co ak... ale to mas jedno, povedal som, co som chcel povedat, mozno sa nad tym nikto nepozastavi, a mozno to bude pre niekoho dovod na zamyslenie... ale v kazdom pripade, clovek sa uci na vlastnych ale aj cudzich chybach... a o tom to vsetko je...

no, asi mas pravdu, ale neviem preco mi to pripada blbe, osetrovat data vybrate z DB... a ako ich osetrujes vlastne?? vsetky co vyberes z DB prebehnes funkciou ?


_________________
"It took a lot of work, but this latest Linux patch enables support for machines with 4096 CPUs, up from the old limit of 1024." "Do you have support for smooth full-screen flash video yet?" "No, but who uses that?"
- ak dlho neodpisujem do témy, zabudol som na ňu, takže ma upozornite SS, ak chcete moju odpoveď
Offline

Užívateľ
Užívateľ
Obrázok užívateľa

Registrovaný: 20.11.07
Prihlásený: 18.01.09
Príspevky: 2934
Témy: 116 | 116
Napísal autor témyOffline : 19.12.2008 14:17 | Utok na vlastnu stranku

Blackshadow aj mna to zaujima ako to osetrujete teda kontrolujete vlastne :D


Offline

Správca fóra
Správca fóra
Utok na vlastnu stranku

Registrovaný: 27.07.07
Príspevky: 3971
Témy: 51 | 51
Bydlisko: Bratislava
Vek: 32
NapísalOffline : 19.12.2008 14:35 | Utok na vlastnu stranku

pripada ti to blbe preto, lebo doteraz si to nerobil a nie si na to zvyknuty...

ako osetrovat data z db? dobra otazka, ale v podstate to zalezi od povahy dat, ktore mas ulozene v tabulkach... ked tam mas len cisty text, tak to osetrujes inak, ako ked tam mas html zdrojak... myslim vsak, ze vo vacsine pripadov staci pouzit (vlastne) funkcie pribuzne funkciam vyuzivanych pri osetrovani klasickych vstupov od uzivatela...


_________________
Desktop: CPU: AMD Athlon64 3000+ | MB: Biostar K8T890-A9 | VGA: NVIDIA GeForce 6200 LE 256MB | RAM: 2x 1GB A-DATA DDR 400 MHz Dual Kit | HDD: WD Caviar Blue 320GB | DVD: LG GSA-H10N | Keyboard: Chicony KU-0420 Silver/Black | Mouse: Logitech RX1000 | Zdroj: Corsair CX400 400W | CASE: DELUX DLC-MD370 Black | LCD: 20" Samsung 206BW | Repro: Teac XL-20
Notebook: ACER Aspire 4820TG 14" | CPU: Intel Core i5 2,53 GHz | VGA: ATI Mobility Radeon HD5650 1GB / Intel HD Graphics | RAM: 4GB DDR3 1066 MHz | HDD: 640GB
Offline

Užívateľ
Užívateľ
Utok na vlastnu stranku

Registrovaný: 09.09.07
Prihlásený: 07.11.16
Príspevky: 3128
Témy: 233 | 233
Bydlisko: Nové Zámky
NapísalOffline : 19.12.2008 15:31 | Utok na vlastnu stranku

cize napr funkciu safety ;) ale fakt ma toto este nenapadlo ;) asi to zacnem pouzivat... aj ked si myslim, ze ked je uz utocnik v DB, tak to je uz dost pruuuuuser :D


_________________
"It took a lot of work, but this latest Linux patch enables support for machines with 4096 CPUs, up from the old limit of 1024." "Do you have support for smooth full-screen flash video yet?" "No, but who uses that?"
- ak dlho neodpisujem do témy, zabudol som na ňu, takže ma upozornite SS, ak chcete moju odpoveď
Offline

Užívateľ
Užívateľ
Obrázok užívateľa

Registrovaný: 21.02.07
Prihlásený: 21.02.10
Príspevky: 3991
Témy: 96 | 96
NapísalOffline : 19.12.2008 15:36 | Utok na vlastnu stranku

no a keby si o ňom ešte vedel tak by bola aspoň sranda :D


Offline

Správca fóra
Správca fóra
Utok na vlastnu stranku

Registrovaný: 27.07.07
Príspevky: 3971
Témy: 51 | 51
Bydlisko: Bratislava
Vek: 32
NapísalOffline : 19.12.2008 15:40 | Utok na vlastnu stranku

ee, safety urcite nie, aspon nie v sucasnej podobe... lebo ked budes mat v db html entity, tak opatovnym pouzitim safety ti napr. & prevedie na &amp; (&lt; => &amp;lt;) Preto som aj pisal, ze treba pouzit modifikovane funkcie...


_________________
Desktop: CPU: AMD Athlon64 3000+ | MB: Biostar K8T890-A9 | VGA: NVIDIA GeForce 6200 LE 256MB | RAM: 2x 1GB A-DATA DDR 400 MHz Dual Kit | HDD: WD Caviar Blue 320GB | DVD: LG GSA-H10N | Keyboard: Chicony KU-0420 Silver/Black | Mouse: Logitech RX1000 | Zdroj: Corsair CX400 400W | CASE: DELUX DLC-MD370 Black | LCD: 20" Samsung 206BW | Repro: Teac XL-20
Notebook: ACER Aspire 4820TG 14" | CPU: Intel Core i5 2,53 GHz | VGA: ATI Mobility Radeon HD5650 1GB / Intel HD Graphics | RAM: 4GB DDR3 1066 MHz | HDD: 640GB
Offline

Užívateľ
Užívateľ
Utok na vlastnu stranku

Registrovaný: 09.09.07
Prihlásený: 07.11.16
Príspevky: 3128
Témy: 233 | 233
Bydlisko: Nové Zámky
NapísalOffline : 19.12.2008 16:10 | Utok na vlastnu stranku

njn, to je fakt... takze dalsia funkcia...


_________________
"It took a lot of work, but this latest Linux patch enables support for machines with 4096 CPUs, up from the old limit of 1024." "Do you have support for smooth full-screen flash video yet?" "No, but who uses that?"
- ak dlho neodpisujem do témy, zabudol som na ňu, takže ma upozornite SS, ak chcete moju odpoveď
Offline

Správca fóra
Správca fóra
Utok na vlastnu stranku

Registrovaný: 27.07.07
Príspevky: 3971
Témy: 51 | 51
Bydlisko: Bratislava
Vek: 32
NapísalOffline : 19.12.2008 16:30 | Utok na vlastnu stranku

najjednoduchsie je pravdepodobne (v pripade textu) previest vsetky prekonvertovane znaky (entity a pod) spat na obycajne znaky (pomocou html_entity_decode, htmlspecialchars_decode) a nasledne aplikovat napr. uz spominanu funkciu safety... cize nic zlozite...


_________________
Desktop: CPU: AMD Athlon64 3000+ | MB: Biostar K8T890-A9 | VGA: NVIDIA GeForce 6200 LE 256MB | RAM: 2x 1GB A-DATA DDR 400 MHz Dual Kit | HDD: WD Caviar Blue 320GB | DVD: LG GSA-H10N | Keyboard: Chicony KU-0420 Silver/Black | Mouse: Logitech RX1000 | Zdroj: Corsair CX400 400W | CASE: DELUX DLC-MD370 Black | LCD: 20" Samsung 206BW | Repro: Teac XL-20
Notebook: ACER Aspire 4820TG 14" | CPU: Intel Core i5 2,53 GHz | VGA: ATI Mobility Radeon HD5650 1GB / Intel HD Graphics | RAM: 4GB DDR3 1066 MHz | HDD: 640GB
 [ Príspevkov: 73 ] 1, 2, 3


Utok na vlastnu stranku



Podobné témy

 Témy  Odpovede  Zobrazenia  Posledný príspevok 
V tomto fóre nie sú ďalšie neprečítané témy.

ako na vlastnu stranku

v Ostatné

13

3522

08.11.2007 20:21

Numline1

V tomto fóre nie sú ďalšie neprečítané témy.

Vysielanie videa na vlastnu stranku

v Sieťové a internetové programy

2

331

04.01.2008 20:55

zvukarmiso

V tomto fóre nie sú ďalšie neprečítané témy.

Útok na stránku zneužitím chmod 777

v Ostatné

23

1457

30.12.2008 9:39

POM4R4NC

V tomto fóre nie sú ďalšie neprečítané témy.

pomoc s jednoduchym vkladanim fotiek na vlastnu stranku

v Ostatné

7

389

17.07.2009 17:44

brm

V tomto fóre nie sú ďalšie neprečítané témy.

Sieťový útok?

v Siete

3

309

05.02.2011 14:13

walther

V tomto fóre nie sú ďalšie neprečítané témy.

tazky utok

v Bezpečnosť a firewally

2

1474

15.05.2009 0:36

Roberbo

V tomto fóre nie sú ďalšie neprečítané témy.

Freehosting pre vlastnu domenu

v Webhosting a servery

12

1137

07.12.2010 15:01

patrik609

V tomto fóre nie sú ďalšie neprečítané témy.

Ako vytvorit vlastnu instalaciu

v Ostatné programy

5

570

28.12.2009 12:08

Fico

V tomto fóre nie sú ďalšie neprečítané témy.

prechod na vlastnu domenu

v Internetový marketing, SEO, reklama

3

496

09.05.2010 0:29

locksmith

V tomto fóre nie sú ďalšie neprečítané témy.

ban na vlastnu ziadost?

v Správy pre vedenie fóra

4

677

30.01.2011 12:37

Tomas1

V tomto fóre nie sú ďalšie neprečítané témy.

Ako vytvoriť vlastnú aplikáciu ???

v Ostatné

6

2335

27.06.2008 22:32

beks

V tomto fóre nie sú ďalšie neprečítané témy.

BP na vlastnú žiadosť

v Správy pre vedenie fóra

20

2300

23.12.2008 18:50

dadmtb

V tomto fóre nie sú ďalšie neprečítané témy.

Utok na T-com ?

v Siete

2

367

21.05.2011 10:14

johny3212

V tomto fóre nie sú ďalšie neprečítané témy.

útok Ip spoofing-pomoc!

v Bezpečnosť a firewally

6

1063

22.05.2006 23:34

Carlos

V tomto fóre nie sú ďalšie neprečítané témy.

UTOK NA MôJ PC

v Bezpečnosť a firewally

12

364

07.10.2012 15:09

walther

V tomto fóre nie sú ďalšie neprečítané témy.

Musí mať každá podsieť vlastnú bránu?

v Siete

1

117

08.12.2015 11:05

KocuR



© 2005 - 2017 PCforum, edited by JanoF