| | |
Autor | Správa |
---|
Registrovaný: 27.07.07 Príspevky: 3948 Témy: 51 Bydlisko: Bratislava |
mozes pouzit aj iny sposob, napr. si pridas do clanku (alebo kde to chces vkladat) nejaky unikatny kod, trebars {BANNER} a po selecte len nahradis tento kod vystupom php scriptu (funkcie), ktory bude robit to, co potrebujes...
_________________ NTB: Acer Aspire 4820TG 14" | CPU: Intel Core i5 2,53 GHz | VGA: ATI Mobility Radeon HD5650 1GB | RAM: 8GB DDR3 1066 MHz | HDD: 1TB SSD WD BLUE |
|
Registrovaný: 13.05.08 Prihlásený: 07.11.14 Príspevky: 43 Témy: 7 | Napísal eMPiko: 07.10.2009 12:23 | |
|
Preco nemat PHP v databaze? Zeby kvoli zvysenemu riziku? Predsa len je tazsie dostat sa niekomu na slabo zabezpeceny Apache ako na slabo zabezpecenu MySQL databazu. Nie je to tak davno co nasli v MySQL fatalnu chybu a verim tomu ze na mnozstve serverov este stale maju tuto verziu. Staci sa pripojit a mozes robit na stranke ci dokonca serveri (podla prav) prakticky cokolvek. Pripadne by stacilo jeden zle osetreny input...
|
|
Registrovaný: 27.07.07 Príspevky: 3948 Témy: 51 Bydlisko: Bratislava |
pozri sa, ak je skript deravy, je jedno ci je ulozeny v subore alebo v db - je zneuzitelny rovnako... neviem, ako vam to mam este vysvetlit...
_________________ NTB: Acer Aspire 4820TG 14" | CPU: Intel Core i5 2,53 GHz | VGA: ATI Mobility Radeon HD5650 1GB | RAM: 8GB DDR3 1066 MHz | HDD: 1TB SSD WD BLUE |
|
Registrovaný: 13.05.08 Prihlásený: 07.11.14 Príspevky: 43 Témy: 7 | Napísal eMPiko: 07.10.2009 13:35 | |
|
Nehovorim o scripte, ktory si tam prida spravca, ale o scripte ktory si tam moze pridat utocnik.
|
|
Registrovaný: 27.07.07 Príspevky: 3948 Témy: 51 Bydlisko: Bratislava |
ale to by museli najskor vsetci osetrovat data prijate z db, co drviva vacsina nerobi... tak isto ti tam moze pridat skodlivy js ci iny kod - chces tym teda povedat, ze js tiez nepatri do db?
_________________ NTB: Acer Aspire 4820TG 14" | CPU: Intel Core i5 2,53 GHz | VGA: ATI Mobility Radeon HD5650 1GB | RAM: 8GB DDR3 1066 MHz | HDD: 1TB SSD WD BLUE |
|
Registrovaný: 13.05.08 Prihlásený: 07.11.14 Príspevky: 43 Témy: 7 | Napísal eMPiko: 07.10.2009 17:01 | |
|
javascript sa vykonava u klienta nie na serveri.
|
|
Registrovaný: 27.07.07 Príspevky: 3948 Témy: 51 Bydlisko: Bratislava |
evidentne si nepochopil - ked sa ti utocnik dostane do db, ma niekolko moznosti utoku na tvoju stranku - ci tam vlozi php kod, skodlivy js kod alebo zmeni/vymaze data, vzdy niekomu uskodi - bud majitelovi stranky alebo navstevnikom. V pripade js som konkretne myslel kod, ktory ti, ako navstevnikovi, infikuje tvoj stroj... preto sa ta pytam, ci teda podla teba nemoze byt v db ulozeny js kod, kedze je to z tohto pohladu bezpecnostne riziko (podobne, ako si uviedol pri php)?
btw existuje aj server-side js, ale to nie je teraz dolezite...
_________________ NTB: Acer Aspire 4820TG 14" | CPU: Intel Core i5 2,53 GHz | VGA: ATI Mobility Radeon HD5650 1GB | RAM: 8GB DDR3 1066 MHz | HDD: 1TB SSD WD BLUE |
|
Registrovaný: 13.05.08 Prihlásený: 07.11.14 Príspevky: 43 Témy: 7 | Napísal eMPiko: 07.10.2009 17:28 | |
|
Samozrejme aj JS moze byt skodlivy, ale v porovnani s PHP-ckom sa mi to zda ako slaby cajicek. Javascript ohrozuje len tych, ktori priamo navstivia ohrozenu stranku, pricom mnozstvo ludi uz ma JS aspon ciastocne blokovany. Pri PHP staci ten script spustit raz a cela stranka v cudu. To je neporovnatelne vacsie riziko, aj ked je to cisto subjektivny pohlad na vec.
|
|
Registrovaný: 27.07.07 Príspevky: 3948 Témy: 51 Bydlisko: Bratislava |
php kod neohrozuje tiez len tych, ktori navstivia napadnutu stranku?
ak sa ti nieco zda, este neznamena, ze to je aj pravda... ake mnozstvo ludi ma ciastocne blokovane js? mozno tak blokovanie pop-up, ale to je asi tak vsetko - ziadna prevencia...
nie je nahodou cielom utocnikov, v drvivej vacsine, infikovat co najviac strojov? co by mali z toho, ze napr. vymazu celu stranku? mozno jednorazovy dobry pocit, viac nic... asi uvazujes len ako majitel webu, na navstevnikov vobec nemyslis, a to je problem...
_________________ NTB: Acer Aspire 4820TG 14" | CPU: Intel Core i5 2,53 GHz | VGA: ATI Mobility Radeon HD5650 1GB | RAM: 8GB DDR3 1066 MHz | HDD: 1TB SSD WD BLUE |
|
Registrovaný: 01.05.05 Príspevky: 13349 Témy: 1496 Bydlisko: Bratislava | Napísal autor témy JanoF: 21.03.2010 1:22 | |
|
Ďuri píše: Tak hod sem, co mas a opravime chyby malo by to byt nieco v tomto zmysle: Kód: <?php $conn = ... //spojis sa s DB, tuto cast vynechavam $sql = "SELECT nazov_pola FROM tabulka"; $res = mysql_query($sql, $conn); while ($record = mysql_fetch_array($res)) { eval('?>'.$record['nazov_pola']); } Nemam to otestovane. Duri thx, som sa k tomu opet vratil a funguje to pekne
_________________ Streacom DA2 | SilverStone Titanium SX800-LTI 800W | ASRock X299E-ITX/ac | Intel Core i9-9980XE & be quiet! Dark Rock TF | Kingston HyperX Impact 64 GB DDR4 2666 MHz | NVIDIA Titan RTX 24 GB | Intel SSD Optane 905P 480 GB NVMe U.2 & Intel SSD 750 1,2 TB NVMe U.2 & Intel SSD 660p 2 TB NVMe M.2 & Seagate BackUp Plus Portable 56 TB USB | 55" 4K OLED Dell Alienware AW5520QF & 24" LCD EIZO FlexScan EV2451 | Ergotron LX Wall Mount Keyboard Arm | Logitech Craft | Logitech G603 | Logitech F710 | Harman Kardon Sabre SB 35 & Sennheiser RS 175 | Microsoft Windows 7 Ultimate | APC Back-UPS ES 700 | Lenovo ThinkPad X250 | iPhone X 256 GB & Pitaka Aramid | SilverStone ML05B Milo | Corsair SF600 SFX 600W | ASRock X99E-ITX/ac | Intel Xeon E5-2683 v4 & NOCTUA NH-L12S | Kingston HyperX Savage 32 GB DDR4 2400 MHz | NVIDIA GeForce GT 710 1 GB | Intel SSD Optane Memory 32 GB NVMe M.2 & Intel SSD 730 240 GB SATA | Ubuntu Server |
|
Podobné témy | Témy | Odpovede | Zobrazenia | Posledný príspevok |
---|
| Editacia data mysql tabulke cez php v PHP, ASP | 6 | 1472 | 30.12.2009 17:46 noff | | Vypis hlavicky mysql v php v PHP, ASP | 2 | 416 | 25.04.2010 9:11 Bauglir | | Vypis pocas spracovavania scriptu v PHP, ASP | 3 | 441 | 27.12.2009 21:27 rooobertek | | Vytvorenie suboru php a vlozenie php scriptu v PHP, ASP | 4 | 1440 | 07.05.2010 14:02 DeiForm | | automaticke spustanie PHP scriptu v PHP, ASP | 5 | 536 | 08.08.2008 9:02 Tominator | | MySQL vypis v Databázy | 1 | 313 | 07.01.2014 15:34 kudzo3 | | spustenie linux scriptu cez php v PHP, ASP | 4 | 724 | 20.10.2008 11:50 TommyHot | | Nemozem pochopiť časť scriptu PHP v PHP, ASP | 7 | 673 | 14.06.2011 0:56 walther | | výpis z mysql v PHP, ASP | 13 | 1207 | 09.12.2009 19:40 M1rcO_o | | MYSQL vypis podmienky v Databázy | 6 | 789 | 07.09.2010 20:15 camo | | Android volanie php scriptu z backgroundu v Android, iOS, Windows Phone (Mobile) | 13 | 548 | 23.03.2014 14:57 emkej8 | | Vypis poctu z MySQL v PHP, ASP | 11 | 647 | 30.01.2009 12:39 jtomcik | | PHP - Spracovanie url callbacku v PHP, ASP | 9 | 552 | 30.04.2015 15:05 chrono | | spracovanie formulara v php v PHP, ASP | 8 | 1532 | 31.05.2006 10:54 wlacho | | Výpis údajov z mysql tabuľky v PHP, ASP | 29 | 1571 | 05.12.2008 9:44 stenley | | Výpis podľa stĺpca z MySQL v PHP, ASP | 6 | 397 | 04.11.2012 21:14 xxx9955 |
| Nemôžete zakladať nové témy v tomto fóre Nemôžete odpovedať na témy v tomto fóre Nemôžete upravovať svoje príspevky v tomto fóre Nemôžete mazať svoje príspevky v tomto fóre
|
|