[ Príspevkov: 40 ] 1, 2
AutorSpráva
Offline

Prevádzkovateľ fóra
Prevádzkovateľ fóra
Vypis z MySQL a spracovanie php scriptu v tabulke

Registrovaný: 01.05.05
Príspevky: 12421
Témy: 1447 | 1447
Bydlisko: Bratislava
Vek: 32

Ako nato? Co sa tyka vytahovania dat z mysql som uplny laik, dnes som nieco skusal a podarilo sa mi vytiahnut z prveho zaznamu v tabulke nejake data. No a moja otazka je ako na vytiahnutie dat z tabulky, resp. toho prveho zaznamu nejaky php script napriklad <?php echo 'test'; ?> a naslednom spracovani po vytiahnut... :rolleyes:


_________________
SilverStone SST CS01 | Corsair SF600 600W SFX | ASRock X99E-ITX/ac | Intel Xeon E5-2683 v4 (16 Cores / 32 Threads) & Noctua NH-U9DX i4 | Kingston HyperX Savage 32 GB DDR4 2400 MHz | PNY NVIDIA Quadro K1200 DP 4 GB DDR5 | Intel SSD 750 1.2 TB NVMe & Intel SSD 730 240 GB SATA & Seagate BackUp Plus Portable 12 TB USB | 31.5" 4K LCD EIZO FlexScan EV3237 & 2 x 24" LCD EIZO FlexScan EV2451 | Ergotron LX Wall Mount Keyboard Arm | Logitech Craft | Logitech Wireless G700s | Harman Kardon Nova | Microsoft Windows 7 Ultimate | APC Back-UPS ES 700 | Lenovo ThinkPad X250 - Intel Core i7 5600U, 8 GB DDR3 1600 MHz, Intel HD Graphics 5500, SanDisk SSD 512 GB, 12.5 FHD LED IPS, WWAN 3G 4G LTE, Microsoft Windows 7 Ultimate | Nintendo Classic Mini | BlackBerry Passport 96 GB
Offline

Čestný člen
Čestný člen
Vypis z MySQL a spracovanie php scriptu v tabulke

Registrovaný: 11.08.07
Príspevky: 4110
Témy: 30 | 30
Bydlisko: Brno

Pokial ten PHP skript mas vytiahnuty z DB, mozes ho spustit eval()om. Eval ocakava uz PHP skript, teda ak mas toto:
Kód:
$skript = "<?php echo 'test'; ?>";
Pouzi to takto:
Kód:
eval('?>'.$skript);

Otazka je, naco je to dobre takto riesit a ci nie je lepsi sposob.


Offline

Skúsený užívateľ
Skúsený užívateľ
Vypis z MySQL a spracovanie php scriptu v tabulke

Registrovaný: 09.07.08
Prihlásený: 17.01.15
Príspevky: 1586
Témy: 96 | 96

Ak chceš spraviť to, čo píše Ďuri, tak to rýchlo zastav. skripty do databázy nepatria.


_________________
neříkejte, že něco nejde udělat, protože se vždycky najde nějaký blbec, co neví, že to nejde – a udělá to!
Offline

Prevádzkovateľ fóra
Prevádzkovateľ fóra
Vypis z MySQL a spracovanie php scriptu v tabulke

Registrovaný: 01.05.05
Príspevky: 12421
Témy: 1447 | 1447
Bydlisko: Bratislava
Vek: 32
Napísal autor témyOffline : 28.09.2009 19:53 | Vypis z MySQL a spracovanie php scriptu v tabulke

Chcel by som do databazy natlacit texty a mam medzi textami par jednoduchych php skriptov ktore zobrazuju nieoc nahodne, ci pocitaju a to by som chcel tiez nechat medzi tym textom :rolleyes: jedna sa o cisto jednoduchu stranku, vid profil...


_________________
SilverStone SST CS01 | Corsair SF600 600W SFX | ASRock X99E-ITX/ac | Intel Xeon E5-2683 v4 (16 Cores / 32 Threads) & Noctua NH-U9DX i4 | Kingston HyperX Savage 32 GB DDR4 2400 MHz | PNY NVIDIA Quadro K1200 DP 4 GB DDR5 | Intel SSD 750 1.2 TB NVMe & Intel SSD 730 240 GB SATA & Seagate BackUp Plus Portable 12 TB USB | 31.5" 4K LCD EIZO FlexScan EV3237 & 2 x 24" LCD EIZO FlexScan EV2451 | Ergotron LX Wall Mount Keyboard Arm | Logitech Craft | Logitech Wireless G700s | Harman Kardon Nova | Microsoft Windows 7 Ultimate | APC Back-UPS ES 700 | Lenovo ThinkPad X250 - Intel Core i7 5600U, 8 GB DDR3 1600 MHz, Intel HD Graphics 5500, SanDisk SSD 512 GB, 12.5 FHD LED IPS, WWAN 3G 4G LTE, Microsoft Windows 7 Ultimate | Nintendo Classic Mini | BlackBerry Passport 96 GB
Offline

Užívateľ
Užívateľ
Obrázok užívateľa

Registrovaný: 21.02.07
Prihlásený: 21.02.10
Príspevky: 3991
Témy: 96 | 96

To nie je dobrý nápad.


Offline

Prevádzkovateľ fóra
Prevádzkovateľ fóra
Vypis z MySQL a spracovanie php scriptu v tabulke

Registrovaný: 01.05.05
Príspevky: 12421
Témy: 1447 | 1447
Bydlisko: Bratislava
Vek: 32
Napísal autor témyOffline : 28.09.2009 20:20 | Vypis z MySQL a spracovanie php scriptu v tabulke

Preco? chcel by som si k tomu spravit nejaku light administraciu ale pred tym chcem vyriesit tento problem...


_________________
SilverStone SST CS01 | Corsair SF600 600W SFX | ASRock X99E-ITX/ac | Intel Xeon E5-2683 v4 (16 Cores / 32 Threads) & Noctua NH-U9DX i4 | Kingston HyperX Savage 32 GB DDR4 2400 MHz | PNY NVIDIA Quadro K1200 DP 4 GB DDR5 | Intel SSD 750 1.2 TB NVMe & Intel SSD 730 240 GB SATA & Seagate BackUp Plus Portable 12 TB USB | 31.5" 4K LCD EIZO FlexScan EV3237 & 2 x 24" LCD EIZO FlexScan EV2451 | Ergotron LX Wall Mount Keyboard Arm | Logitech Craft | Logitech Wireless G700s | Harman Kardon Nova | Microsoft Windows 7 Ultimate | APC Back-UPS ES 700 | Lenovo ThinkPad X250 - Intel Core i7 5600U, 8 GB DDR3 1600 MHz, Intel HD Graphics 5500, SanDisk SSD 512 GB, 12.5 FHD LED IPS, WWAN 3G 4G LTE, Microsoft Windows 7 Ultimate | Nintendo Classic Mini | BlackBerry Passport 96 GB
Offline

Užívateľ
Užívateľ
Obrázok užívateľa

Registrovaný: 21.02.07
Prihlásený: 21.02.10
Príspevky: 3991
Témy: 96 | 96

Vkladať do DB scripty je hlúposť ... V DB sa uchovávajú dáta. Tebe ide asi to, že niekto niekde klikne tak ty mu podľa toho čo chcel vyberieš z DB stránku.

Ono toto riešenie, je až také neobvyklé, že ho považujem za nesprávne, lebo riešiť administráciu, alebo úpravy pri tomto spôsobe môže byť ako nebezpečné, tak nezmyselné.


Offline

Prevádzkovateľ fóra
Prevádzkovateľ fóra
Vypis z MySQL a spracovanie php scriptu v tabulke

Registrovaný: 01.05.05
Príspevky: 12421
Témy: 1447 | 1447
Bydlisko: Bratislava
Vek: 32
Napísal autor témyOffline : 28.09.2009 20:36 | Vypis z MySQL a spracovanie php scriptu v tabulke

Mozno sa nechapeme oco mi ide....


_________________
SilverStone SST CS01 | Corsair SF600 600W SFX | ASRock X99E-ITX/ac | Intel Xeon E5-2683 v4 (16 Cores / 32 Threads) & Noctua NH-U9DX i4 | Kingston HyperX Savage 32 GB DDR4 2400 MHz | PNY NVIDIA Quadro K1200 DP 4 GB DDR5 | Intel SSD 750 1.2 TB NVMe & Intel SSD 730 240 GB SATA & Seagate BackUp Plus Portable 12 TB USB | 31.5" 4K LCD EIZO FlexScan EV3237 & 2 x 24" LCD EIZO FlexScan EV2451 | Ergotron LX Wall Mount Keyboard Arm | Logitech Craft | Logitech Wireless G700s | Harman Kardon Nova | Microsoft Windows 7 Ultimate | APC Back-UPS ES 700 | Lenovo ThinkPad X250 - Intel Core i7 5600U, 8 GB DDR3 1600 MHz, Intel HD Graphics 5500, SanDisk SSD 512 GB, 12.5 FHD LED IPS, WWAN 3G 4G LTE, Microsoft Windows 7 Ultimate | Nintendo Classic Mini | BlackBerry Passport 96 GB
Offline

Správca fóra
Správca fóra
Vypis z MySQL a spracovanie php scriptu v tabulke

Registrovaný: 27.07.07
Príspevky: 3971
Témy: 51 | 51
Bydlisko: Bratislava
Vek: 32

podla mna to nie je nespravne, ale urcite netvrdim, ze to je najspravnejsie :) skripty nie su data alebo co? co myslis, ako to riesia cms systemy? tiez umoznuju vkladat do sablon ulozenych v db php kod... keby to bola hlupost, tak tam ta moznost predsa nie je...


_________________
Desktop: CPU: AMD Athlon64 3000+ | MB: Biostar K8T890-A9 | VGA: NVIDIA GeForce 6200 LE 256MB | RAM: 2x 1GB A-DATA DDR 400 MHz Dual Kit | HDD: WD Caviar Blue 320GB | DVD: LG GSA-H10N | Keyboard: Chicony KU-0420 Silver/Black | Mouse: Logitech RX1000 | Zdroj: Corsair CX400 400W | CASE: DELUX DLC-MD370 Black | LCD: 20" Samsung 206BW | Repro: Teac XL-20
Notebook: ACER Aspire 4820TG 14" | CPU: Intel Core i5 2,53 GHz | VGA: ATI Mobility Radeon HD5650 1GB / Intel HD Graphics | RAM: 4GB DDR3 1066 MHz | HDD: 640GB
Offline

Užívateľ
Užívateľ
Obrázok užívateľa

Registrovaný: 21.02.07
Prihlásený: 21.02.10
Príspevky: 3991
Témy: 96 | 96

No tak potom to sú asi slabé CMS :-D pretože každý seriózny človek vie, že v momente keď z DB robíš eval, vzniká isté nebezpečenstvo ...


Offline

Prevádzkovateľ fóra
Prevádzkovateľ fóra
Vypis z MySQL a spracovanie php scriptu v tabulke

Registrovaný: 01.05.05
Príspevky: 12421
Témy: 1447 | 1447
Bydlisko: Bratislava
Vek: 32
Napísal autor témyOffline : 28.09.2009 20:47 | Vypis z MySQL a spracovanie php scriptu v tabulke

Drupal ma moznost pridat do db php script a nezda sa mi ako slaby cms ;) preto si myslim ze to az tak nechutne nemoze byt :P


_________________
SilverStone SST CS01 | Corsair SF600 600W SFX | ASRock X99E-ITX/ac | Intel Xeon E5-2683 v4 (16 Cores / 32 Threads) & Noctua NH-U9DX i4 | Kingston HyperX Savage 32 GB DDR4 2400 MHz | PNY NVIDIA Quadro K1200 DP 4 GB DDR5 | Intel SSD 750 1.2 TB NVMe & Intel SSD 730 240 GB SATA & Seagate BackUp Plus Portable 12 TB USB | 31.5" 4K LCD EIZO FlexScan EV3237 & 2 x 24" LCD EIZO FlexScan EV2451 | Ergotron LX Wall Mount Keyboard Arm | Logitech Craft | Logitech Wireless G700s | Harman Kardon Nova | Microsoft Windows 7 Ultimate | APC Back-UPS ES 700 | Lenovo ThinkPad X250 - Intel Core i7 5600U, 8 GB DDR3 1600 MHz, Intel HD Graphics 5500, SanDisk SSD 512 GB, 12.5 FHD LED IPS, WWAN 3G 4G LTE, Microsoft Windows 7 Ultimate | Nintendo Classic Mini | BlackBerry Passport 96 GB
Offline

Správca fóra
Správca fóra
Vypis z MySQL a spracovanie php scriptu v tabulke

Registrovaný: 27.07.07
Príspevky: 3971
Témy: 51 | 51
Bydlisko: Bratislava
Vek: 32

su to slabe cms? sry, ale nebud smiesny... takyto argument neobstoji... hmm, ake nebezpecenstvo? si nezdravo paranoidny :)


_________________
Desktop: CPU: AMD Athlon64 3000+ | MB: Biostar K8T890-A9 | VGA: NVIDIA GeForce 6200 LE 256MB | RAM: 2x 1GB A-DATA DDR 400 MHz Dual Kit | HDD: WD Caviar Blue 320GB | DVD: LG GSA-H10N | Keyboard: Chicony KU-0420 Silver/Black | Mouse: Logitech RX1000 | Zdroj: Corsair CX400 400W | CASE: DELUX DLC-MD370 Black | LCD: 20" Samsung 206BW | Repro: Teac XL-20
Notebook: ACER Aspire 4820TG 14" | CPU: Intel Core i5 2,53 GHz | VGA: ATI Mobility Radeon HD5650 1GB / Intel HD Graphics | RAM: 4GB DDR3 1066 MHz | HDD: 640GB
Offline

Užívateľ
Užívateľ
Obrázok užívateľa

Registrovaný: 21.02.07
Prihlásený: 21.02.10
Príspevky: 3991
Témy: 96 | 96

Som realista. Ak sa nemýlim tak phpBB do DB nedáva PHP, a ten považujem za celkom slučný CMS. Keby do DB dával PHP kód taký Wordpress veľmi ma to neprekvapí.

Stenley: Ak by sa útočníkovy podarilo akýmkoľvek spôsobom vložiť ľubovoľný PHP kód do DB, už to by znamenalo obrovskú zraniteľnosť ... Mohol by si robiť prakticky čokoľvek. (Na JanoFovej stránke to nebude ale uvediem príklady) Mohol by si kradnúť session, zrušiť stránku, vyhodiť databázu, a pod.


Offline

Prevádzkovateľ fóra
Prevádzkovateľ fóra
Vypis z MySQL a spracovanie php scriptu v tabulke

Registrovaný: 01.05.05
Príspevky: 12421
Témy: 1447 | 1447
Bydlisko: Bratislava
Vek: 32
Napísal autor témyOffline : 28.09.2009 21:17 | Vypis z MySQL a spracovanie php scriptu v tabulke

To nikto netvrdi ze sa to nemoze stat, ale stane sa ze potrebujes v nejakom clanku trebars vyuzit aj nejaky jednoduchy php script, akym sposobom toto zneuzijes? Nikto nevravi ze mas do tabulky dat nejaky obludny php script ktory bude robit neviem co...

a inac sme trosku odbocili od mojho problemu :)


_________________
SilverStone SST CS01 | Corsair SF600 600W SFX | ASRock X99E-ITX/ac | Intel Xeon E5-2683 v4 (16 Cores / 32 Threads) & Noctua NH-U9DX i4 | Kingston HyperX Savage 32 GB DDR4 2400 MHz | PNY NVIDIA Quadro K1200 DP 4 GB DDR5 | Intel SSD 750 1.2 TB NVMe & Intel SSD 730 240 GB SATA & Seagate BackUp Plus Portable 12 TB USB | 31.5" 4K LCD EIZO FlexScan EV3237 & 2 x 24" LCD EIZO FlexScan EV2451 | Ergotron LX Wall Mount Keyboard Arm | Logitech Craft | Logitech Wireless G700s | Harman Kardon Nova | Microsoft Windows 7 Ultimate | APC Back-UPS ES 700 | Lenovo ThinkPad X250 - Intel Core i7 5600U, 8 GB DDR3 1600 MHz, Intel HD Graphics 5500, SanDisk SSD 512 GB, 12.5 FHD LED IPS, WWAN 3G 4G LTE, Microsoft Windows 7 Ultimate | Nintendo Classic Mini | BlackBerry Passport 96 GB
Offline

Správca fóra
Správca fóra
Vypis z MySQL a spracovanie php scriptu v tabulke

Registrovaný: 27.07.07
Príspevky: 3971
Témy: 51 | 51
Bydlisko: Bratislava
Vek: 32

aky je podla teba rozdiel, ak sa utocnik dostane do db a ked ziska pristup na ftp? to akoze zakazat vykonavat php skripty ulozene na serveri, lebo ich moze utocnik zneuzit? osobne v tom rozdiel nevidim, tak preco zakazovat php prikazy v db? to je z tohto pohladu nelogicke, nezda sa ti? ale ked si to uz nacal... ak sa utocnik dostane do db, skor ti tam supne nejaky skodlivy js, ako php kod... a v podstate, vtedy je uz vsetko jedno, samozrejme, ak system neosetruje data ziskane z db...


_________________
Desktop: CPU: AMD Athlon64 3000+ | MB: Biostar K8T890-A9 | VGA: NVIDIA GeForce 6200 LE 256MB | RAM: 2x 1GB A-DATA DDR 400 MHz Dual Kit | HDD: WD Caviar Blue 320GB | DVD: LG GSA-H10N | Keyboard: Chicony KU-0420 Silver/Black | Mouse: Logitech RX1000 | Zdroj: Corsair CX400 400W | CASE: DELUX DLC-MD370 Black | LCD: 20" Samsung 206BW | Repro: Teac XL-20
Notebook: ACER Aspire 4820TG 14" | CPU: Intel Core i5 2,53 GHz | VGA: ATI Mobility Radeon HD5650 1GB / Intel HD Graphics | RAM: 4GB DDR3 1066 MHz | HDD: 640GB
Offline

Užívateľ
Užívateľ
Obrázok užívateľa

Registrovaný: 21.02.07
Prihlásený: 21.02.10
Príspevky: 3991
Témy: 96 | 96

No tak keby ošetroval ten kód tak sa mu PHP skript nespracuje. Neviem ja keď mám tú možnosť využiť všetky funkcie PHP, tak JS by bola iba súčasť.

Aký je rozdiel? Tak keď si na PHP, tak teoreticky môžeš pristupovať ku scriptom tak ako cez FTP (samozrejme nie úlne), ale okrem toho môžeš ovplyvňovať výstupy, databázy a pod.

// Samozrejme, že JanoFovi sa tam nebude 500 ľudí denne snažiť prekonať zabezpečenie (ak nejaké ovšem bude), ale ide o princíp. Podľa mňa dávať akýkoľvek script do DB nie je správne (a preto sme podľa môjho názoru od témy neodbočili). Uveď(te) príklad takéhoto malého scriptu, aby som bol v obraze.


Offline

Prevádzkovateľ fóra
Prevádzkovateľ fóra
Vypis z MySQL a spracovanie php scriptu v tabulke

Registrovaný: 01.05.05
Príspevky: 12421
Témy: 1447 | 1447
Bydlisko: Bratislava
Vek: 32
Napísal autor témyOffline : 28.09.2009 22:12 | Vypis z MySQL a spracovanie php scriptu v tabulke

Na stranke mam trebars php script na zistovanie ci mam zapnute pc alebo nie, naco to oddelovat od celeho kontextu, ked to mozem mat v db vsetko po kope...


_________________
SilverStone SST CS01 | Corsair SF600 600W SFX | ASRock X99E-ITX/ac | Intel Xeon E5-2683 v4 (16 Cores / 32 Threads) & Noctua NH-U9DX i4 | Kingston HyperX Savage 32 GB DDR4 2400 MHz | PNY NVIDIA Quadro K1200 DP 4 GB DDR5 | Intel SSD 750 1.2 TB NVMe & Intel SSD 730 240 GB SATA & Seagate BackUp Plus Portable 12 TB USB | 31.5" 4K LCD EIZO FlexScan EV3237 & 2 x 24" LCD EIZO FlexScan EV2451 | Ergotron LX Wall Mount Keyboard Arm | Logitech Craft | Logitech Wireless G700s | Harman Kardon Nova | Microsoft Windows 7 Ultimate | APC Back-UPS ES 700 | Lenovo ThinkPad X250 - Intel Core i7 5600U, 8 GB DDR3 1600 MHz, Intel HD Graphics 5500, SanDisk SSD 512 GB, 12.5 FHD LED IPS, WWAN 3G 4G LTE, Microsoft Windows 7 Ultimate | Nintendo Classic Mini | BlackBerry Passport 96 GB
Offline

Správca fóra
Správca fóra
Vypis z MySQL a spracovanie php scriptu v tabulke

Registrovaný: 27.07.07
Príspevky: 3971
Témy: 51 | 51
Bydlisko: Bratislava
Vek: 32

Tominator píše:
No tak keby ošetroval ten kód tak sa mu PHP skript nespracuje. Neviem ja keď mám tú možnosť využiť všetky funkcie PHP, tak JS by bola iba súčasť.

Aký je rozdiel? Tak keď si na PHP, tak teoreticky môžeš pristupovať ku scriptom tak ako cez FTP (samozrejme nie úlne), ale okrem toho môžeš ovplyvňovať výstupy, databázy a pod.

// Samozrejme, že JanoFovi sa tam nebude 500 ľudí denne snažiť prekonať zabezpečenie (ak nejaké ovšem bude), ale ide o princíp. Podľa mňa dávať akýkoľvek script do DB nie je správne (a preto sme podľa môjho názoru od témy neodbočili). Uveď(te) príklad takéhoto malého scriptu, aby som bol v obraze.

keby som neuviedol osetrovanie dat z db, tak ti to ani nenapadne, lebo verim ze drviva vacsina "programatorov" to vobec nekontroluje...

nepochopil si ma, nechcel som od teba, aby si mi napisal rozdiel, ale to, ci nie je predsa len jedno, ak je php kod v klasickych suborch a ked je v db (z pohladu zranitelnosti)... lebo ci sa dostane utocnik do db alebo na ftp, vzdy moze upravit zdrojak...

ked si zastanca nepridavania php kodu do db, nie je jedno, aky kod tam chce jano pridat? mas totiz trosku rozchodne nazory, na jednej strane to povazujes za hlupost a na druhej zas posudzujes spravnost pridavania/nepridavania na zaklade "zlozitosti" kodu...


_________________
Desktop: CPU: AMD Athlon64 3000+ | MB: Biostar K8T890-A9 | VGA: NVIDIA GeForce 6200 LE 256MB | RAM: 2x 1GB A-DATA DDR 400 MHz Dual Kit | HDD: WD Caviar Blue 320GB | DVD: LG GSA-H10N | Keyboard: Chicony KU-0420 Silver/Black | Mouse: Logitech RX1000 | Zdroj: Corsair CX400 400W | CASE: DELUX DLC-MD370 Black | LCD: 20" Samsung 206BW | Repro: Teac XL-20
Notebook: ACER Aspire 4820TG 14" | CPU: Intel Core i5 2,53 GHz | VGA: ATI Mobility Radeon HD5650 1GB / Intel HD Graphics | RAM: 4GB DDR3 1066 MHz | HDD: 640GB
Offline

Skúsený užívateľ
Skúsený užívateľ
Vypis z MySQL a spracovanie php scriptu v tabulke

Registrovaný: 09.07.08
Prihlásený: 17.01.15
Príspevky: 1586
Témy: 96 | 96

Zabezpečené (proti xss) CMS nepovolia ani html okrem <b> a podobne, pre toto vznikli bb značky. Nezabezpečené CMS povolia akékoľvek html aj s javascriptom. Ale čo by potom boli cms, ktoré berú php? To už je fakt extrém. php v databáze proste nemá čo robiť. Ak potrebuješ dávať php do článkov alebo do čoho, volil by som cestu hardcodovania. Do cmska sa ti dostane hocikto, ani nevieš ako.


_________________
neříkejte, že něco nejde udělat, protože se vždycky najde nějaký blbec, co neví, že to nejde – a udělá to!
Offline

Správca fóra
Správca fóra
Vypis z MySQL a spracovanie php scriptu v tabulke

Registrovaný: 27.07.07
Príspevky: 3971
Témy: 51 | 51
Bydlisko: Bratislava
Vek: 32

osobne pouzivam cms, kde je mozne nastavit typ sablony, tj. ci je to ciste html, xml, css, aktivovane php, ... dalsia uroven je povolenie len "bezpecnych" tagov/prikazov pripadne dalsie odstupnovanie... takto si (z tohto pohladu) predstavujem kvalitne cms, kde nepotrebujem menit jeho zdrojovy kod, ked tam chcem pridat nieco, s cim povodne nepocital... naopak, ak zmenim zdrojak cmska, co sa stane, ak budem chciet spravit upgrade? a o tom to cele je...

rooobertek píše:
Do cmska sa ti dostane hocikto, ani nevieš ako.

nad tymto sa mozem len pousmiat...


_________________
Desktop: CPU: AMD Athlon64 3000+ | MB: Biostar K8T890-A9 | VGA: NVIDIA GeForce 6200 LE 256MB | RAM: 2x 1GB A-DATA DDR 400 MHz Dual Kit | HDD: WD Caviar Blue 320GB | DVD: LG GSA-H10N | Keyboard: Chicony KU-0420 Silver/Black | Mouse: Logitech RX1000 | Zdroj: Corsair CX400 400W | CASE: DELUX DLC-MD370 Black | LCD: 20" Samsung 206BW | Repro: Teac XL-20
Notebook: ACER Aspire 4820TG 14" | CPU: Intel Core i5 2,53 GHz | VGA: ATI Mobility Radeon HD5650 1GB / Intel HD Graphics | RAM: 4GB DDR3 1066 MHz | HDD: 640GB
Offline

Skúsený užívateľ
Skúsený užívateľ
Vypis z MySQL a spracovanie php scriptu v tabulke

Registrovaný: 09.07.08
Prihlásený: 17.01.15
Príspevky: 1586
Témy: 96 | 96

Predpokladám, že JanoF nie je asi high-end programátor. Tým pádom môže mať kdekoľvek xss. A keď máme xss, nie je problém spraviť keylogger alebo čisto vypýtanie si hodnoty polí s id username a password. Rovnako si môžem zistiť cookies.

xss je tak bežná vec, že sa nájde aj na stránkach skutočných makačov, tak nevidím dôvod, aby nebol aj na tej janovej stránke.


Offline

Správca fóra
Správca fóra
Vypis z MySQL a spracovanie php scriptu v tabulke

Registrovaný: 27.07.07
Príspevky: 3971
Témy: 51 | 51
Bydlisko: Bratislava
Vek: 32

asi si este nevidel janovu stranku :) ale o to teraz nejde... doteraz si ale nepodlozil riadnymi argumentami tvoje tvrdenie, ze php kod do db nepatri... preco to teda tvrdis a povazujes to za jedenaste prikazanie? stale pises, ze "ak", to iste mozem tvrdit aj ja, ze "ak" sa niekto dostane na ftp, moze spravit taku istu skodu (ak nie vacsiu), ako ked sa dostane do db... a aj napriek tomu nikde netvrdim, ze php kod nesmie byt na ftp... nie je teda jedno (z tohto pohladu), kde je ten kod umiestneny? odpoved na tuto otazku nech si da kazdy sam...


_________________
Desktop: CPU: AMD Athlon64 3000+ | MB: Biostar K8T890-A9 | VGA: NVIDIA GeForce 6200 LE 256MB | RAM: 2x 1GB A-DATA DDR 400 MHz Dual Kit | HDD: WD Caviar Blue 320GB | DVD: LG GSA-H10N | Keyboard: Chicony KU-0420 Silver/Black | Mouse: Logitech RX1000 | Zdroj: Corsair CX400 400W | CASE: DELUX DLC-MD370 Black | LCD: 20" Samsung 206BW | Repro: Teac XL-20
Notebook: ACER Aspire 4820TG 14" | CPU: Intel Core i5 2,53 GHz | VGA: ATI Mobility Radeon HD5650 1GB / Intel HD Graphics | RAM: 4GB DDR3 1066 MHz | HDD: 640GB
Offline

Skúsený užívateľ
Skúsený užívateľ
Vypis z MySQL a spracovanie php scriptu v tabulke

Registrovaný: 09.07.08
Prihlásený: 17.01.15
Príspevky: 1586
Témy: 96 | 96

tak odhliadnuc od bezpečnosti (tá sa na Slovensku moc nenosí), sú tu ešte dve veci, ktoré mi len tak napadli:
1. db = databáza. Všimni si tú časť slova "data".
2. výkon. Keď je skript na disku, môže si s tým php robiť čo uzná za vhodné, napr. nacachovať. Ale keď to budeš ťahať z db, je to vždy nový skript.


_________________
neříkejte, že něco nejde udělat, protože se vždycky najde nějaký blbec, co neví, že to nejde – a udělá to!
Offline

Správca fóra
Správca fóra
Vypis z MySQL a spracovanie php scriptu v tabulke

Registrovaný: 27.07.07
Príspevky: 3971
Témy: 51 | 51
Bydlisko: Bratislava
Vek: 32

heh, vsetko, co ulozis do db su istym sposobom data, udaje, informacie, nech si to nazveme akokolvek, "vzdy" su to v konecnom dosledku len nuly a jednicky... ked si uz spomenul to cachovanie, je to samozrejme kvoli vykonu, ale nie kazdy to pouziva a nie vzdy je to to prave orechove... ak to teda nepotrebujem, nemozem pouzivat php v db? vidis, vzdy je tu to "ak"...

aby sme sa chapali, ja netvrdim, ze ukladanie php kodu do db je najspravnejsie, ale ked uz na to pride, nebudem predsa tvrdit, ze sa to nesmie, ze to je blbost a podobne silacke reci, ktore mimochodom o niecom svedcia...


_________________
Desktop: CPU: AMD Athlon64 3000+ | MB: Biostar K8T890-A9 | VGA: NVIDIA GeForce 6200 LE 256MB | RAM: 2x 1GB A-DATA DDR 400 MHz Dual Kit | HDD: WD Caviar Blue 320GB | DVD: LG GSA-H10N | Keyboard: Chicony KU-0420 Silver/Black | Mouse: Logitech RX1000 | Zdroj: Corsair CX400 400W | CASE: DELUX DLC-MD370 Black | LCD: 20" Samsung 206BW | Repro: Teac XL-20
Notebook: ACER Aspire 4820TG 14" | CPU: Intel Core i5 2,53 GHz | VGA: ATI Mobility Radeon HD5650 1GB / Intel HD Graphics | RAM: 4GB DDR3 1066 MHz | HDD: 640GB
Offline

Užívateľ
Užívateľ
Obrázok užívateľa

Registrovaný: 21.02.07
Prihlásený: 21.02.10
Príspevky: 3991
Témy: 96 | 96

Stenley máš pravdu sú to dáta, máš pravdu v tom čo hovoríš, ale ide presne o to, že prečo nepoužívame napr tág font, alebo ešte lepšie framy. Ty to samozrejme môžeš použiť, ale proste sa to nerobí. Ty môžeš na čierne pozadie dať tmavosivý text, alebo na modré pozadie, dať zelený text ... ale sa to nerobí. Tak isto môžeš dávať php do databáza, môžeš to aj zabezpečovať neviem ako, ale sa to nerobí .. je to trošku proti logike. A keď si to nezabezpečíš, tak to je to "blbosť" :D

Samozrejme soi skúsenejší než ja, vieš svoje, ale nejaký kvalitný systém, a JanoFová stránka, to sa nedá porovnávať. Neviem si reálne predstaviť, že by Jano, v jednom článku (a to tam nemá žiadne články) spúšťal nejaký PHP v druhom nejaký iný ... Myslím, si že na to ide zle ...preto by som to nerobil. Zmysel by to malo jedine vtedy, ak by mal systém wikipedie, a vo výnimočných prípadoch by si potreboval uložiť nejakú informácie, ale aj tak neviem, čo je také echt, že sa to pchá aj do DB.


Offline

Správca fóra
Správca fóra
Vypis z MySQL a spracovanie php scriptu v tabulke

Registrovaný: 27.07.07
Príspevky: 3971
Témy: 51 | 51
Bydlisko: Bratislava
Vek: 32

"sa to nerobi"... kde sa to nerobi? kto to nerobi? je to nejaky vseobecne uznavany "standard"?

tuto nekonecnu diskusiu by som ukoncil asi tak, ze ak ta niekto nauci, ze trava je cervena a zrazu ti niekto zacne tvrdit, ze je v skutocnosti zelena, tak ho budes presviedcat o opaku ;)


_________________
Desktop: CPU: AMD Athlon64 3000+ | MB: Biostar K8T890-A9 | VGA: NVIDIA GeForce 6200 LE 256MB | RAM: 2x 1GB A-DATA DDR 400 MHz Dual Kit | HDD: WD Caviar Blue 320GB | DVD: LG GSA-H10N | Keyboard: Chicony KU-0420 Silver/Black | Mouse: Logitech RX1000 | Zdroj: Corsair CX400 400W | CASE: DELUX DLC-MD370 Black | LCD: 20" Samsung 206BW | Repro: Teac XL-20
Notebook: ACER Aspire 4820TG 14" | CPU: Intel Core i5 2,53 GHz | VGA: ATI Mobility Radeon HD5650 1GB / Intel HD Graphics | RAM: 4GB DDR3 1066 MHz | HDD: 640GB
Offline

Skúsený užívateľ
Skúsený užívateľ
Vypis z MySQL a spracovanie php scriptu v tabulke

Registrovaný: 09.07.08
Prihlásený: 17.01.15
Príspevky: 1586
Témy: 96 | 96

no neviem, ale skús mi ukázať dobrý príklad, kto kde používa php skripty v databáze


_________________
neříkejte, že něco nejde udělat, protože se vždycky najde nějaký blbec, co neví, že to nejde – a udělá to!
Offline

Správca fóra
Správca fóra
Vypis z MySQL a spracovanie php scriptu v tabulke

Registrovaný: 27.07.07
Príspevky: 3971
Témy: 51 | 51
Bydlisko: Bratislava
Vek: 32

uz som to pisal, dobrym prikladom je cms...


_________________
Desktop: CPU: AMD Athlon64 3000+ | MB: Biostar K8T890-A9 | VGA: NVIDIA GeForce 6200 LE 256MB | RAM: 2x 1GB A-DATA DDR 400 MHz Dual Kit | HDD: WD Caviar Blue 320GB | DVD: LG GSA-H10N | Keyboard: Chicony KU-0420 Silver/Black | Mouse: Logitech RX1000 | Zdroj: Corsair CX400 400W | CASE: DELUX DLC-MD370 Black | LCD: 20" Samsung 206BW | Repro: Teac XL-20
Notebook: ACER Aspire 4820TG 14" | CPU: Intel Core i5 2,53 GHz | VGA: ATI Mobility Radeon HD5650 1GB / Intel HD Graphics | RAM: 4GB DDR3 1066 MHz | HDD: 640GB
Offline

Prevádzkovateľ fóra
Prevádzkovateľ fóra
Vypis z MySQL a spracovanie php scriptu v tabulke

Registrovaný: 01.05.05
Príspevky: 12421
Témy: 1447 | 1447
Bydlisko: Bratislava
Vek: 32
Napísal autor témyOffline : 03.10.2009 17:49 | Vypis z MySQL a spracovanie php scriptu v tabulke

Vedeli by ste mi dat nejaky priklad ako teda vytiahnut z db data ktore prejdu cez ten eval a spracuje sa to aj s php scriptami co budu tam. Skusam to, ale ako vidim tak vedomosti nato este nemam o-)))


_________________
SilverStone SST CS01 | Corsair SF600 600W SFX | ASRock X99E-ITX/ac | Intel Xeon E5-2683 v4 (16 Cores / 32 Threads) & Noctua NH-U9DX i4 | Kingston HyperX Savage 32 GB DDR4 2400 MHz | PNY NVIDIA Quadro K1200 DP 4 GB DDR5 | Intel SSD 750 1.2 TB NVMe & Intel SSD 730 240 GB SATA & Seagate BackUp Plus Portable 12 TB USB | 31.5" 4K LCD EIZO FlexScan EV3237 & 2 x 24" LCD EIZO FlexScan EV2451 | Ergotron LX Wall Mount Keyboard Arm | Logitech Craft | Logitech Wireless G700s | Harman Kardon Nova | Microsoft Windows 7 Ultimate | APC Back-UPS ES 700 | Lenovo ThinkPad X250 - Intel Core i7 5600U, 8 GB DDR3 1600 MHz, Intel HD Graphics 5500, SanDisk SSD 512 GB, 12.5 FHD LED IPS, WWAN 3G 4G LTE, Microsoft Windows 7 Ultimate | Nintendo Classic Mini | BlackBerry Passport 96 GB
Offline

Čestný člen
Čestný člen
Vypis z MySQL a spracovanie php scriptu v tabulke

Registrovaný: 11.08.07
Príspevky: 4110
Témy: 30 | 30
Bydlisko: Brno

Tak hod sem, co mas a opravime chyby :) malo by to byt nieco v tomto zmysle:
Kód:
<?php
$conn = ... //spojis sa s DB, tuto cast vynechavam
$sql = "SELECT nazov_pola FROM tabulka";
$res = mysql_query($sql, $conn);
while ($record = mysql_fetch_array($res))
{
   eval('?>'.$record['nazov_pola']);
}
Nemam to otestovane.


 [ Príspevkov: 40 ] 1, 2


Vypis z MySQL a spracovanie php scriptu v tabulke



Podobné témy

 Témy  Odpovede  Zobrazenia  Posledný príspevok 
V tomto fóre nie sú ďalšie neprečítané témy.

Editacia data mysql tabulke cez php

v PHP, ASP

6

1209

30.12.2009 17:46

noff

V tomto fóre nie sú ďalšie neprečítané témy.

Vypis hlavicky mysql v php

v PHP, ASP

2

185

25.04.2010 9:11

Bauglir

V tomto fóre nie sú ďalšie neprečítané témy.

Vypis pocas spracovavania scriptu

v PHP, ASP

3

257

27.12.2009 21:27

rooobertek

V tomto fóre nie sú ďalšie neprečítané témy.

Vytvorenie suboru php a vlozenie php scriptu

v PHP, ASP

4

925

07.05.2010 14:02

DeiForm

V tomto fóre nie sú ďalšie neprečítané témy.

automaticke spustanie PHP scriptu

v PHP, ASP

5

366

08.08.2008 9:02

Tominator

V tomto fóre nie sú ďalšie neprečítané témy.

MySQL vypis

v Databázy

1

101

07.01.2014 15:34

kudzo3

V tomto fóre nie sú ďalšie neprečítané témy.

Nemozem pochopiť časť scriptu PHP

v PHP, ASP

7

410

14.06.2011 0:56

walther

V tomto fóre nie sú ďalšie neprečítané témy.

spustenie linux scriptu cez php

v PHP, ASP

4

486

20.10.2008 11:50

TommyHot

V tomto fóre nie sú ďalšie neprečítané témy.

MYSQL vypis podmienky

v Databázy

6

582

07.09.2010 20:15

camo

V tomto fóre nie sú ďalšie neprečítané témy.

výpis z mysql

v PHP, ASP

13

934

09.12.2009 19:40

M1rcO_o

V tomto fóre nie sú ďalšie neprečítané témy.

Android volanie php scriptu z backgroundu

v Android, iOS, Windows Phone (Mobile)

13

242

23.03.2014 14:57

emkej8

V tomto fóre nie sú ďalšie neprečítané témy.

Vypis poctu z MySQL

v PHP, ASP

11

297

30.01.2009 12:39

jtomcik

V tomto fóre nie sú ďalšie neprečítané témy.

PHP - Spracovanie url callbacku

v PHP, ASP

9

219

30.04.2015 15:05

chrono

V tomto fóre nie sú ďalšie neprečítané témy.

spracovanie formulara v php

v PHP, ASP

8

1291

31.05.2006 10:54

wlacho

V tomto fóre nie sú ďalšie neprečítané témy.

Výpis údajov z mysql tabuľky

v PHP, ASP

29

1203

05.12.2008 9:44

stenley

V tomto fóre nie sú ďalšie neprečítané témy.

Výpis podľa stĺpca z MySQL

v PHP, ASP

6

196

04.11.2012 21:14

xxx9955



© 2005 - 2017 PCforum, edited by JanoF