[ Príspevkov: 40 ] 1, 2
AutorSpráva
Offline

Správca fóra
Správca fóra
Vypis z MySQL a spracovanie php scriptu v tabulke

Registrovaný: 27.07.07
Príspevky: 3971
Témy: 51 | 51
Bydlisko: Bratislava
Vek: 32

mozes pouzit aj iny sposob, napr. si pridas do clanku (alebo kde to chces vkladat) nejaky unikatny kod, trebars {BANNER} a po selecte len nahradis tento kod vystupom php scriptu (funkcie), ktory bude robit to, co potrebujes...


_________________
Desktop: CPU: AMD Athlon64 3000+ | MB: Biostar K8T890-A9 | VGA: NVIDIA GeForce 6200 LE 256MB | RAM: 2x 1GB A-DATA DDR 400 MHz Dual Kit | HDD: WD Caviar Blue 320GB | DVD: LG GSA-H10N | Keyboard: Chicony KU-0420 Silver/Black | Mouse: Logitech RX1000 | Zdroj: Corsair CX400 400W | CASE: DELUX DLC-MD370 Black | LCD: 20" Samsung 206BW | Repro: Teac XL-20
Notebook: ACER Aspire 4820TG 14" | CPU: Intel Core i5 2,53 GHz | VGA: ATI Mobility Radeon HD5650 1GB / Intel HD Graphics | RAM: 4GB DDR3 1066 MHz | HDD: 640GB
Offline

Užívateľ
Užívateľ
Obrázok užívateľa

Registrovaný: 13.05.08
Prihlásený: 07.11.14
Príspevky: 43
Témy: 7 | 7

Preco nemat PHP v databaze? Zeby kvoli zvysenemu riziku? Predsa len je tazsie dostat sa niekomu na slabo zabezpeceny Apache ako na slabo zabezpecenu MySQL databazu. Nie je to tak davno co nasli v MySQL fatalnu chybu a verim tomu ze na mnozstve serverov este stale maju tuto verziu. Staci sa pripojit a mozes robit na stranke ci dokonca serveri (podla prav) prakticky cokolvek. Pripadne by stacilo jeden zle osetreny input...


Offline

Správca fóra
Správca fóra
Vypis z MySQL a spracovanie php scriptu v tabulke

Registrovaný: 27.07.07
Príspevky: 3971
Témy: 51 | 51
Bydlisko: Bratislava
Vek: 32

:) pozri sa, ak je skript deravy, je jedno ci je ulozeny v subore alebo v db - je zneuzitelny rovnako... neviem, ako vam to mam este vysvetlit...


_________________
Desktop: CPU: AMD Athlon64 3000+ | MB: Biostar K8T890-A9 | VGA: NVIDIA GeForce 6200 LE 256MB | RAM: 2x 1GB A-DATA DDR 400 MHz Dual Kit | HDD: WD Caviar Blue 320GB | DVD: LG GSA-H10N | Keyboard: Chicony KU-0420 Silver/Black | Mouse: Logitech RX1000 | Zdroj: Corsair CX400 400W | CASE: DELUX DLC-MD370 Black | LCD: 20" Samsung 206BW | Repro: Teac XL-20
Notebook: ACER Aspire 4820TG 14" | CPU: Intel Core i5 2,53 GHz | VGA: ATI Mobility Radeon HD5650 1GB / Intel HD Graphics | RAM: 4GB DDR3 1066 MHz | HDD: 640GB
Offline

Užívateľ
Užívateľ
Obrázok užívateľa

Registrovaný: 13.05.08
Prihlásený: 07.11.14
Príspevky: 43
Témy: 7 | 7

Nehovorim o scripte, ktory si tam prida spravca, ale o scripte ktory si tam moze pridat utocnik.


Offline

Správca fóra
Správca fóra
Vypis z MySQL a spracovanie php scriptu v tabulke

Registrovaný: 27.07.07
Príspevky: 3971
Témy: 51 | 51
Bydlisko: Bratislava
Vek: 32

ale to by museli najskor vsetci osetrovat data prijate z db, co drviva vacsina nerobi... tak isto ti tam moze pridat skodlivy js ci iny kod - chces tym teda povedat, ze js tiez nepatri do db?


_________________
Desktop: CPU: AMD Athlon64 3000+ | MB: Biostar K8T890-A9 | VGA: NVIDIA GeForce 6200 LE 256MB | RAM: 2x 1GB A-DATA DDR 400 MHz Dual Kit | HDD: WD Caviar Blue 320GB | DVD: LG GSA-H10N | Keyboard: Chicony KU-0420 Silver/Black | Mouse: Logitech RX1000 | Zdroj: Corsair CX400 400W | CASE: DELUX DLC-MD370 Black | LCD: 20" Samsung 206BW | Repro: Teac XL-20
Notebook: ACER Aspire 4820TG 14" | CPU: Intel Core i5 2,53 GHz | VGA: ATI Mobility Radeon HD5650 1GB / Intel HD Graphics | RAM: 4GB DDR3 1066 MHz | HDD: 640GB
Offline

Užívateľ
Užívateľ
Obrázok užívateľa

Registrovaný: 13.05.08
Prihlásený: 07.11.14
Príspevky: 43
Témy: 7 | 7

javascript sa vykonava u klienta nie na serveri.


Offline

Správca fóra
Správca fóra
Vypis z MySQL a spracovanie php scriptu v tabulke

Registrovaný: 27.07.07
Príspevky: 3971
Témy: 51 | 51
Bydlisko: Bratislava
Vek: 32

evidentne si nepochopil - ked sa ti utocnik dostane do db, ma niekolko moznosti utoku na tvoju stranku - ci tam vlozi php kod, skodlivy js kod alebo zmeni/vymaze data, vzdy niekomu uskodi - bud majitelovi stranky alebo navstevnikom. V pripade js som konkretne myslel kod, ktory ti, ako navstevnikovi, infikuje tvoj stroj... preto sa ta pytam, ci teda podla teba nemoze byt v db ulozeny js kod, kedze je to z tohto pohladu bezpecnostne riziko (podobne, ako si uviedol pri php)?

btw existuje aj server-side js, ale to nie je teraz dolezite...


_________________
Desktop: CPU: AMD Athlon64 3000+ | MB: Biostar K8T890-A9 | VGA: NVIDIA GeForce 6200 LE 256MB | RAM: 2x 1GB A-DATA DDR 400 MHz Dual Kit | HDD: WD Caviar Blue 320GB | DVD: LG GSA-H10N | Keyboard: Chicony KU-0420 Silver/Black | Mouse: Logitech RX1000 | Zdroj: Corsair CX400 400W | CASE: DELUX DLC-MD370 Black | LCD: 20" Samsung 206BW | Repro: Teac XL-20
Notebook: ACER Aspire 4820TG 14" | CPU: Intel Core i5 2,53 GHz | VGA: ATI Mobility Radeon HD5650 1GB / Intel HD Graphics | RAM: 4GB DDR3 1066 MHz | HDD: 640GB
Offline

Užívateľ
Užívateľ
Obrázok užívateľa

Registrovaný: 13.05.08
Prihlásený: 07.11.14
Príspevky: 43
Témy: 7 | 7

Samozrejme aj JS moze byt skodlivy, ale v porovnani s PHP-ckom sa mi to zda ako slaby cajicek. Javascript ohrozuje len tych, ktori priamo navstivia ohrozenu stranku, pricom mnozstvo ludi uz ma JS aspon ciastocne blokovany. Pri PHP staci ten script spustit raz a cela stranka v cudu. To je neporovnatelne vacsie riziko, aj ked je to cisto subjektivny pohlad na vec.


Offline

Správca fóra
Správca fóra
Vypis z MySQL a spracovanie php scriptu v tabulke

Registrovaný: 27.07.07
Príspevky: 3971
Témy: 51 | 51
Bydlisko: Bratislava
Vek: 32

php kod neohrozuje tiez len tych, ktori navstivia napadnutu stranku?

ak sa ti nieco zda, este neznamena, ze to je aj pravda... ake mnozstvo ludi ma ciastocne blokovane js? mozno tak blokovanie pop-up, ale to je asi tak vsetko - ziadna prevencia...

nie je nahodou cielom utocnikov, v drvivej vacsine, infikovat co najviac strojov? co by mali z toho, ze napr. vymazu celu stranku? mozno jednorazovy dobry pocit, viac nic... asi uvazujes len ako majitel webu, na navstevnikov vobec nemyslis, a to je problem...


_________________
Desktop: CPU: AMD Athlon64 3000+ | MB: Biostar K8T890-A9 | VGA: NVIDIA GeForce 6200 LE 256MB | RAM: 2x 1GB A-DATA DDR 400 MHz Dual Kit | HDD: WD Caviar Blue 320GB | DVD: LG GSA-H10N | Keyboard: Chicony KU-0420 Silver/Black | Mouse: Logitech RX1000 | Zdroj: Corsair CX400 400W | CASE: DELUX DLC-MD370 Black | LCD: 20" Samsung 206BW | Repro: Teac XL-20
Notebook: ACER Aspire 4820TG 14" | CPU: Intel Core i5 2,53 GHz | VGA: ATI Mobility Radeon HD5650 1GB / Intel HD Graphics | RAM: 4GB DDR3 1066 MHz | HDD: 640GB
Offline

Prevádzkovateľ fóra
Prevádzkovateľ fóra
Vypis z MySQL a spracovanie php scriptu v tabulke

Registrovaný: 01.05.05
Príspevky: 12424
Témy: 1447 | 1447
Bydlisko: Bratislava
Vek: 32
Napísal autor témyOffline : 21.03.2010 1:22 | Vypis z MySQL a spracovanie php scriptu v tabulke

Ďuri píše:
Tak hod sem, co mas a opravime chyby :) malo by to byt nieco v tomto zmysle:
Kód:
<?php
$conn = ... //spojis sa s DB, tuto cast vynechavam
$sql = "SELECT nazov_pola FROM tabulka";
$res = mysql_query($sql, $conn);
while ($record = mysql_fetch_array($res))
{
   eval('?>'.$record['nazov_pola']);
}
Nemam to otestovane.
Duri thx, som sa k tomu opet vratil a funguje to pekne :)


_________________
SilverStone SST CS01 | Corsair SF600 600W SFX | ASRock X99E-ITX/ac | Intel Xeon E5-2683 v4 (16 Cores / 32 Threads) & Noctua NH-U9DX i4 | Kingston HyperX Savage 32 GB DDR4 2400 MHz | PNY NVIDIA Quadro K1200 DP 4 GB DDR5 | Intel SSD 750 1.2 TB NVMe & Intel SSD 730 240 GB SATA & Seagate BackUp Plus Portable 12 TB USB | 31.5" 4K LCD EIZO FlexScan EV3237 & 2 x 24" LCD EIZO FlexScan EV2451 | Ergotron LX Wall Mount Keyboard Arm | Logitech Craft | Logitech Wireless G700s | Harman Kardon Nova | Microsoft Windows 7 Ultimate | APC Back-UPS ES 700 | Lenovo ThinkPad X250 - Intel Core i7 5600U, 8 GB DDR3 1600 MHz, Intel HD Graphics 5500, SanDisk SSD 512 GB, 12.5 FHD LED IPS, WWAN 3G 4G LTE, Microsoft Windows 7 Ultimate | Nintendo Classic Mini | BlackBerry Passport 96 GB
 [ Príspevkov: 40 ] 1, 2


Vypis z MySQL a spracovanie php scriptu v tabulke



Podobné témy

 Témy  Odpovede  Zobrazenia  Posledný príspevok 
V tomto fóre nie sú ďalšie neprečítané témy.

Editacia data mysql tabulke cez php

v PHP, ASP

6

1209

30.12.2009 17:46

noff

V tomto fóre nie sú ďalšie neprečítané témy.

Vypis hlavicky mysql v php

v PHP, ASP

2

185

25.04.2010 9:11

Bauglir

V tomto fóre nie sú ďalšie neprečítané témy.

Vypis pocas spracovavania scriptu

v PHP, ASP

3

257

27.12.2009 21:27

rooobertek

V tomto fóre nie sú ďalšie neprečítané témy.

Vytvorenie suboru php a vlozenie php scriptu

v PHP, ASP

4

928

07.05.2010 14:02

DeiForm

V tomto fóre nie sú ďalšie neprečítané témy.

automaticke spustanie PHP scriptu

v PHP, ASP

5

367

08.08.2008 9:02

Tominator

V tomto fóre nie sú ďalšie neprečítané témy.

MySQL vypis

v Databázy

1

101

07.01.2014 15:34

kudzo3

V tomto fóre nie sú ďalšie neprečítané témy.

Nemozem pochopiť časť scriptu PHP

v PHP, ASP

7

410

14.06.2011 0:56

walther

V tomto fóre nie sú ďalšie neprečítané témy.

spustenie linux scriptu cez php

v PHP, ASP

4

487

20.10.2008 11:50

TommyHot

V tomto fóre nie sú ďalšie neprečítané témy.

MYSQL vypis podmienky

v Databázy

6

582

07.09.2010 20:15

camo

V tomto fóre nie sú ďalšie neprečítané témy.

výpis z mysql

v PHP, ASP

13

934

09.12.2009 19:40

M1rcO_o

V tomto fóre nie sú ďalšie neprečítané témy.

Android volanie php scriptu z backgroundu

v Android, iOS, Windows Phone (Mobile)

13

247

23.03.2014 14:57

emkej8

V tomto fóre nie sú ďalšie neprečítané témy.

Vypis poctu z MySQL

v PHP, ASP

11

297

30.01.2009 12:39

jtomcik

V tomto fóre nie sú ďalšie neprečítané témy.

PHP - Spracovanie url callbacku

v PHP, ASP

9

221

30.04.2015 15:05

chrono

V tomto fóre nie sú ďalšie neprečítané témy.

spracovanie formulara v php

v PHP, ASP

8

1294

31.05.2006 10:54

wlacho

V tomto fóre nie sú ďalšie neprečítané témy.

Výpis údajov z mysql tabuľky

v PHP, ASP

29

1203

05.12.2008 9:44

stenley

V tomto fóre nie sú ďalšie neprečítané témy.

Výpis podľa stĺpca z MySQL

v PHP, ASP

6

196

04.11.2012 21:14

xxx9955



© 2005 - 2017 PCforum, edited by JanoF