voľne prístupná stánka a databáza

M1rcO_o · Napísal **M1rcO_o**: 04.01.2010 18:22

Čavte... je podľa Vás bežpečné robiť výpis údajov z databázy na stránkach, ktoré sú voľne prístupné, t.j. nemalú žiadný login.. Nie sú na nich žiadne formuláre čiže iba čistí výpis z databázy.

Ďuri · Napísal **Ďuri**: 04.01.2010 18:25

Samozrejme, pokial tie udaje maju byt volne pristupne, tak nech volne pristupne su. Ved aj toto forum - uzivatelia, sekcie, prispevky atd., vsetko to je tahane z DB a volne pristupne.

M1rcO_o · Napísal autor témy **M1rcO_o**: 04.01.2010 18:27

ok len sa pýtam, pretože som čítal o nejakých hackoch ktoré sú cez url adresu. Či len keď nejaké formuláre su na stránke ?

shaggy · Napísal **shaggy**: 04.01.2010 18:29

Ale to nesúvisí s tým, či ťaháš obsah z databázy, alebo nie. Dôležité je, aby si mal stránku dostatočne zabezpečenú a to platí aj pre stránky bez "formulárov".

M1rcO_o · Napísal autor témy **M1rcO_o**: 04.01.2010 18:30

čo mám chápať ako dostatočne zabezpečenú ? pokial je voľne prístupná. Lebo keď dám login tak ešte chápem ale ?

shaggy · Napísal **shaggy**: 04.01.2010 18:37

Dostatočne zabezpečená - aby si tam nemal nejakú "zraniteľnosť/dieru", ktorú by útočník mohol zneužiť. Vôbec to nesúvisí s prístupom cez heslo.

B.A.X.O · Napísal **B.A.X.O**: 04.01.2010 18:39

áno, pomocou URL sa dá nabúrať sql...ale ono to sú take veci, ako keď máš /adresa/zaznamy.php?id=1 a nemáš to ošetrené napr, na Is_numeric, v takom prípade sa dajú prevádzkovať cez to nejaké SQL príkazy.
že ti tam niekto dá /adresa/zaznamy.php?id=1%20or%201
tak adresa môže fungovať ako klasický SQL dotaz, a vypíše všetky záznamy.

M1rcO_o · Napísal autor témy **M1rcO_o**: 04.01.2010 18:39

ok len čo konkrétne ?

M1rcO_o · Napísal autor témy **M1rcO_o**: 04.01.2010 18:41

B.A.X.O : také stánky budú len zopár.... ale keď je normálne nieco.php tak tam sql dotaz nebude fungovať, že ?

B.A.X.O · Napísal **B.A.X.O**: 04.01.2010 18:41

veď som ti to napísal. ošetruj si hlavne URL adresy...aby ti cez to nikto neprešiel a nemohol si tam robiť svoje príkazy. to je jedna z možností

Ak vieš ako, môžeš si otestovať SQL injection na testovacom webe určenom akurát na tento účel, skúsiť to OR 1=1 a tak http://hakin9.security-portal.cz/

Ďuri · Napísal **Ďuri**: 04.01.2010 18:45

Osetruj vsetko, co prichadza od uzivatela, cize $_GET a $_POST (a $_COOKIE, ak s tym robis nejake kraviny, co pochybujem). Pokial mas len nieco.php a vypisuje sa stale to iste (nezalezi na parametroch v URL), niet co osetrovat.

M1rcO_o · Napísal autor témy **M1rcO_o**: 04.01.2010 18:48

diki.. to som potreboval. Lebo tie GET a POST už relativne viem ošetriť, mne išlo len o stránku na ktoréj je iba výpis z databázy a okrem toho už vlastne nič...

B.A.X.O : jj ten or 1=1 som skúšal ..

voľne prístupná stánka a databáza

Podobné témy