Тема
|
Zashtita na PHP/SQL sreshtu haker4eta?
|
|
Автор | MG (Нерегистриран) |
Публикувано | 29.09.04 20:55 |
|
Zdraveite,
Neka da re4em, 4e imam sait za elektronna tyrgovia.
/ne moga da vi kaja adresa/
Pisan e na PHP i izpolzva MySQL baza danni.
Hostnat e pri .
Ne sym slagal absolutno nikakvi zashtiti sreshtu haker4eta,
tyi kato znam, 4e samite servari sa mnogo dobre zashtiteni.
Kakvo mogat da mi napravqt tezi haker4eta, tyi kato
4esto polu4avam zaplahi i po kakyv na4in da se zashitq.
Blagodarq vi predvarielno.
|
|
Тема
|
Re: Zashtita na PHP/SQL sreshtu haker4eta?
[re: MG]
|
|
Автор | blo (Нерегистриран) |
Публикувано | 30.09.04 00:12 |
|
леле....
еми, в процеса на разработка ти ще правиш дупки в сигурноста.
за да няма външни намеси тези дупки трябва да бъдат запушени, или въобще да не бъдат създавани...
|
|
Тема
|
Re: Zashtita na PHP/SQL sreshtu haker4eta?
[re: MG]
|
|
Автор |
$burov (начинаещ) |
Публикувано | 30.09.04 09:06 |
|
Това което трябва да направиш е да проверяваш информацията, която идва от потребителите, независимо дали чрез ПОСТ или ГЕТ метод.
Например, ако имаш форма в която трябва да си попълнят адреса за доставка, на всяко едно от полетата му приложи striptags() функцията. Ако показваш продуктите през гет метод (domain.com/item.php?id=322) винаги проверявай дали стойността на id е числова стойност с is_numeric()
if(!is_numeric($_GET['id']))
{
header("location:mahai_se_ottuk.php");
}
else
{
//show the product info
}
Мини през целия сайт и прегледай всеки линк, всяка променлива и направи съответните проверки.
|
|
Тема
|
Re: Zashtita na PHP/SQL sreshtu haker4eta?
[re: blo]
|
|
Автор |
Bълk (Дремещ) |
Публикувано | 30.09.04 09:17 |
|
В отговор на:
в процеса на разработка ти ще правиш дупки в сигурноста.
това май се нарича процес на разработване на дупки в сигуноста ![](http://i.dirbg.com/clubs/icons/smile.gif)
-
The night rolls on like slow moving train,
and soul cries out for a handful of rain.
|
|
Тема
|
Re: Zashtita na PHP/SQL sreshtu haker4eta?
[re: MG]
|
|
Автор | mcwolf (Нерегистриран) |
Публикувано | 30.09.04 12:41 |
|
$burov е прав, в общи линй винаги когато получаваш данни от клиент (независимо от метода) трябва да ги използваш с едно на ум.
най - чистият начин за отстраняване на дупки в сигурността е да отвориш кода на страницата - така всеки който има желание може да го погледне и да ти посочи конкретни грешки (но медала има и друга страна всеки който забележи грешка така може да я използва за пробив) ти си прецени но общо взето open sorce проектите са доста по сигурни
|
|
Тема
|
Re: Zashtita na PHP/SQL sreshtu haker4eta?
[re: $burov]
|
|
Автор | MG (Нерегистриран) |
Публикувано | 30.09.04 16:16 |
|
mersi,
a da te pitam, s tezi SQL- injectioni,mogat li da
napravqt neshto
|
|
Тема
|
Re: Zashtita na PHP/SQL sreshtu haker4eta?
[re: MG]
|
|
Автор |
$burov (начинаещ) |
Публикувано | 30.09.04 17:18 |
|
Ако заявката е написана неправилно, могат да ти унищожат базата данни. Винаги слагай кавички (независимо единични или двойни) около променливите в заявката.
Правилно:
$query = "select * from items where item_id = '$_GET[id]' ";
Неправилно:
$query = "select * from items where item_id = $_GET[id] ";
Какво ще се получи, ако $_GET[id] съдържа "; $query = "drop database my_store
$query = "select * from items where item_id = "; $query = "drop database my_store ";
Заявката е пренаписана! Сега ще ми кажеш, ама от къде ще ми знаят името на базата данни, ама от къде ще знаят, че използвам $query а не например $my_query. Отговора е един - по метода на пробата и грешката. Ако някъде имаш die(mysql_error()), много неща могат да се научат.
Например, ако в страницата с резултатите от търсенето имаш нещо като:
http://www.domain.com/results.php?kw=test&order_by=price
всеки би се сетил, че имаш колоната в таблицата с продуктите, която съдържа цената на продукта, се казва price. А какво ще стане ако имаш die(mysql_error()) и горния ГЕТ метод го пренапиша като:
http://www.domain.com/results.php?kw=test&order_by=price222
ще получа съобщение за грешка, което ми казва "няма колона price222 в таблицата catalog - вече знам как се казва таблицата с продуктите и мога да я унищожа.
И т.н.
Редактирано от $burov на 30.09.04 17:19.
|
|
Тема
|
Re: Zashtita na PHP/SQL sreshtu haker4eta?
[re: $burov]
|
|
Автор | MG (Нерегистриран) |
Публикувано | 30.09.04 19:40 |
|
mersi mnogo,
naistina dosta polezna informaciq mi dade,
da si jiv i zdrav
|
|
Тема
|
хакерчета или ХАКЕРИ
[re: MG]
|
|
Автор |
ro6avia (усер френдли) |
Публикувано | 30.09.04 19:48 |
|
това дето ти го обяснил буров 30% близо до истината.
това :
Какво ще се получи, ако $_GET[id] съдържа "; $query = "drop database my_store
$query = "select * from items where item_id = "; $query = "drop database my_store ";
Просто няма да стане (освен ако не правиш eval()), начините са други, дал ти е насоки по темата.
Имай предвид, че тези които споменаваш пренебрежително с 4ета отзад, най-често знаят поне колкото теб или доста повече.
От сума време се самонавивам да напиша една просторна статия по въпроса за хакването на web приложения, начините за защита и т.н. ама съм стигнал само до заглавието.
Имай в предвид, че PHP е много мощен език, които може да направи почти всичко, въпроса е кой и как го прави.
Булхостинг с тяхното секюрити по сървърите може да огранични пораженията до твоя сайт най-много. Него те НЯМА да ти го защитят от ТВОИ недомислици.
П.С. Само за твое успокоение : над 60% от сайтовете съдържат такива недомислици и въпрос на време и нерви е някой да ги отнесе .... Хубавото в тези случаи е, че хората които могат да го направят са загубили интерес или никога не са го имали и се занимават с по-конструктивни неща.
Специално за mcwolf, който твърди open sorce проектите са доста по сигурни - Мислиш ли че е така ? Потърси бъговинята с които се слави PHP Nuke и немуподобните системи да се убедиш че не е така. Разликата между OpenSource и твои лични е, че на свободните им намират буговете и ги фиксват сравнително бързо, докато на твоя личен проект трябва сам да свършиш цялата работа
root@ro6avia#echo rm -rf * > /bin/seek_and_destroy
root@ro6avia#/bin/seek_and_destroy
|
|
Тема
|
Re: хакерчета или ХАКЕРИ
[re: ro6avia]
|
|
Автор | mcwolf (Нерегистриран) |
Публикувано | 01.10.04 13:26 |
|
точно това имам в предвид - бъговете се изчистват много по бързо и доста по качествено - едва ли има някой който да претендира за 100% познание по даден език и всичките му особенност
а и самият факт че php е OpenSource е доста показателен не мислиш ли ?
|
|
Тема
|
Re: хакерчета или ХАКЕРИ
[re: mcwolf]
|
|
Автор |
ro6avia (усер френдли) |
Публикувано | 01.10.04 13:30 |
|
Да и за това на някои сайтове им случваха много лоши неща (намеквам за php 4.0.6 мисля и ъплоад файл хендлърите)
root@ro6avia#echo rm -rf * > /bin/seek_and_destroy
root@ro6avia#/bin/seek_and_destroy
|
|
Тема
|
И още...
[re: $burov]
|
|
Автор |
lazo (ъндърстендър) |
Публикувано | 01.10.04 13:37 |
|
Друг интересен пример:
$query = "select * from items where item_id = '$_GET[id]' ";
В id слагаме "55' UNION SELECT USERNAME, PASSWORD FROM USER WHERE 'a'='a"
И се получава
$query = "select * from items where item_id = '55' UNION SELECT USERNAME, PASSWORD FROM USER WHERE 'a'='a' ";
Дотук с това да слагаш ' ' около променливите - само тава ама изобщо няма да те спаси
Просто пример, така наизуст няма да сработи, но както $burov правилно отбелязва, стигат и малко die(mysql_error()) за да се разберат имената та таблиците, после малко налучкване за колоните и става забавно ![](http://i.dirbg.com/clubs/icons/crazy.gif)
|
|
Тема
|
Re: хакерчета или ХАКЕРИ
[re: ro6avia]
|
|
Автор | mcwolf (Нерегистриран) |
Публикувано | 01.10.04 13:51 |
|
100% защита няма - човека пита как да си закърпи дупките в скриптовете - явно е направил каквото може и иска помощ - точно това е един от плюсовете на open sorse проектите
|
|
Тема
|
Re: хакерчета или ХАКЕРИ
[re: mcwolf]
|
|
Автор |
Bълk (Дремещ) |
Публикувано | 01.10.04 14:34 |
|
open source има много плюсове за тези които не искат да мислят и работят и минуси за тези които печелят пари с главата си.
-
The night rolls on like slow moving train,
and soul cries out for a handful of rain.
|
|
Тема
|
Re: хакерчета или ХАКЕРИ
[re: Bълk]
|
|
Автор | mcwolf (Нерегистриран) |
Публикувано | 01.10.04 14:48 |
|
понеже темата не е относно open sorce няма да ти одговарям така както бих желал защото ще го сметнеш за заяждане но явно не ти е много ясно за какво става дума ?
|
|
Тема
|
Re: хакерчета или ХАКЕРИ
[re: Bълk]
|
|
Автор |
voyager (прасе в космоса) |
Публикувано | 01.10.04 14:50 |
|
open source има много плюсове за тези които не искат да мислят и работят и минуси за тези които печелят пари с главата си.
Това ще си го закача на стената . Все съм се чудил как да го формулирам.
---
|
|
Тема
|
Re: хакерчета или ХАКЕРИ
[re: mcwolf]
|
|
Автор |
voyager (прасе в космоса) |
Публикувано | 01.10.04 14:53 |
|
Нещо не го разбрах този линк, ще ми одговориш ли какво имаш предвид с него?
---
|
|
Тема
|
Re: хакерчета или ХАКЕРИ
[re: voyager]
|
|
Автор |
ro6avia (усер френдли) |
Публикувано | 01.10.04 15:04 |
|
Бе и аз не го разбрах линка ама пича е вманиачен на тема Опънат Сорс и ГПЛ и т.н. ;-))))))
И прави основната грешка да сравнява PHP или BSD с phpNuke или PostNuke да кажем, дето единствената им прилика е че са Оpen Source ...
Когато зад един проект седят 100 000 маймуни дето всяка щрака квот и дойде на акъла и прави бъг след бъг и глупост след глупост и всичко това се отразява на официалните дистрибуции е едно, а когато има СЕРИОЗНА фирма, проект, ръководители, тестери, QA и т.н. е съвсем друго. Нищо че е опен сорс ПАК.
root@ro6avia#echo rm -rf * > /bin/seek_and_destroy
root@ro6avia#/bin/seek_and_destroy
|
|
Тема
|
Re: хакерчета или ХАКЕРИ
[re: voyager]
|
|
Автор | mcwolf (Нерегистриран) |
Публикувано | 01.10.04 15:07 |
|
мнението си е твое - а щом не разбираш линка може би ползваш win при това краден най вероятно, а компилатори някакви ползваш ли - ако ползваш плащал ли си ги - нали си много работлив
|
|
Тема
|
Re: хакерчета или ХАКЕРИ
[re: ro6avia]
|
|
Автор | mcwolf (Нерегистриран) |
Публикувано | 01.10.04 15:15 |
|
|
|
Тема
|
Re: хакерчета или ХАКЕРИ
[re: mcwolf]
|
|
Автор |
ro6avia (усер френдли) |
Публикувано | 01.10.04 15:31 |
|
root@ro6avia#echo rm -rf * > /bin/seek_and_destroy
root@ro6avia#/bin/seek_and_destroy
|
|
Тема
|
Re: хакерчета или ХАКЕРИ
[re: mcwolf]
|
|
Автор |
Bълk (Дремещ) |
Публикувано | 01.10.04 15:31 |
|
зенда е велико нещо, преди няма и половин година го купих смол бизнес едишън и използвам енкодера от него.
-
The night rolls on like slow moving train,
and soul cries out for a handful of rain.
|
|
Тема
|
Re: хакерчета или ХАКЕРИ
[re: mcwolf]
|
|
Автор |
Bълk (Дремещ) |
Публикувано | 01.10.04 15:37 |
|
хаха, защо мислиш, че вояджър като работи почти на 100% за чужбина ползва нещо нелегално? ![](http://i.dirbg.com/clubs/icons/smile.gif)
-
The night rolls on like slow moving train,
and soul cries out for a handful of rain.
|
|
Тема
|
Re: хакерчета или ХАКЕРИ
[re: mcwolf]
|
|
Автор |
Bълk (Дремещ) |
Публикувано | 01.10.04 15:42 |
|
линка нищо не ми говори, преди 2-3 дни попаднах на един линк от сек адвайз с СКЛ инжекшън дупка в постнюк който беше една седмица стар, и май все още не е закърпено, това означава, че всеки който има инсталирана тази версия е уязвим. Ако сорса не беше отворен, то дупката можела да бъде закърпена от екипа преди някой да я открие.
Абе отвори файл с логина на рнрбб ... с крака ако пишеш ще ти излезе по-добре.
-
The night rolls on like slow moving train,
and soul cries out for a handful of rain.
|
|
Тема
|
Re: хакерчета или ХАКЕРИ
[re: mcwolf]
|
|
Автор |
voyager (прасе в космоса) |
Публикувано | 01.10.04 15:44 |
|
а компилатори някакви ползваш ли - ако ползваш плащал ли си ги - нали си много работлив
Аха ползвал съм. И за жаба и Ц съм ползвал, без да ги плащам и без да ги крада. А жаба и Ц не са опен сорс, просто са безплатни, защото девелопмент тулс от типа на компилаторите обикновено се правят безплатни. И майкрософт даже ти дават да си свалиш .НЕТ сдк-то безплатно.
Иначе каквото трябва, си го плащам.
---
|
|
Тема
|
Re: хакерчета или ХАКЕРИ
[re: Bълk]
|
|
Автор |
voyager (прасе в космоса) |
Публикувано | 01.10.04 15:48 |
|
Абе отвори файл с логина на рнрбб ... с крака ако пишеш ще ти излезе по-добре.
Тва между другото някой (май че Муслон-а) го беше поствал като пример за най-некадърния сорс, писан някога, и май не е далече от истината.
Хинт към пича, дето не е регистриран (и ся не ми се дава бацк, да му видя къв беше ника) - пхпББ е едно от най-гордите творения с опънат сорс.
---
|
|
Тема
|
Re: хакерчета или ХАКЕРИ
[re: voyager]
|
|
Автор |
Bълk (Дремещ) |
Публикувано | 01.10.04 15:53 |
|
да де, точно ония ужас го имам предвид, абе да беше само той.
-
The night rolls on like slow moving train,
and soul cries out for a handful of rain.
|
|
Тема
|
Re: хакерчета или ХАКЕРИ
[re: voyager]
|
|
Автор | mcwolf (Нерегистриран) |
Публикувано | 01.10.04 16:34 |
|
за gcc да си чувал нещо ?
майкрософт разпространяват безплатно .NET за да не изпаднат от върха и да те вържат към win и ie я виж visual studio колко е безплатно
|
|
Тема
|
Re: хакерчета или ХАКЕРИ
[re: mcwolf]
|
|
Автор |
lazo (ъндърстендър) |
Публикувано | 01.10.04 16:50 |
|
майкрософт разпространяват безплатно .NET за да не изпаднат от върха
За да изпаднат от върха трябва първо да се качат дотам ![](http://i.dirbg.com/clubs/icons/cool.gif)
|
|
|
аха, най-отвратителните идеи им идват точно на тия от phpbb... един цял ден за тоя логин и противното им base64 encoded cookie...
|
|
|
Само веднъж ми се налагаше да адвам опцийки към това слабоумно творение и оттогава не ща и да чувам за пхпББ. После постнюке ме зарадва почти толкова ![](http://i.dirbg.com/clubs/icons/wink.gif)
---
|
|
Тема
|
Re: хакерчета или ХАКЕРИ
[re: lazo]
|
|
Автор | mcwolf (Нерегистриран) |
Публикувано | 01.10.04 18:45 |
|
и аз съм на това мнение но беше доста крайно и не исках да подхващам спор по тоя въпрос защото просто е безмислен - за мене MS е бита карта
|
|
Тема
|
Re: хакерчета или ХАКЕРИ
[re: mcwolf]
|
|
Автор |
Bълk (Дремещ) |
Публикувано | 02.10.04 02:10 |
|
Studioto е скъпо за безработни, иначе инвестицията се покрива много бързо (евала на индианците, че вдигнаха офшор цената до 35 зелени кинта на час за ламерщина)
-
The night rolls on like slow moving train,
and soul cries out for a handful of rain.Редактирано от Bълk на 02.10.04 02:20.
|
|
Тема
|
За студиото ....
[re: Bълk]
|
|
Автор | Cтyдeнт (Нерегистриран) |
Публикувано | 02.10.04 16:36 |
|
Не че има много връзка с темата, но .... :
Покрай т'ва PHP малко сте позанемарили общата култура струва ми се ....
За който не му е станало ясно - това е от Август' 2004 и е Безплатно;
а който вече ползва нещо от Express знае отлично, че има доста "прилични" екстри, които иначе липсват примерно в 2003 Арх. едишъна
|
|
Тема
|
Re: За студиото ....
[re: Cтyдeнт]
|
|
Автор | mcwolf (Нерегистриран) |
Публикувано | 02.10.04 19:26 |
|
ето ти и алтернатива
|
|
Тема
|
Re: За студиото ....
[re: mcwolf]
|
|
Автор |
JQ (Running Free) |
Публикувано | 02.10.04 21:40 |
|
Става дума за различни технологии.
Избора на технология е съвсем друг въпрос и в понякога не може да се променя.
Каква алтернатива ще е кдевелоп ако имам проект на НЕТ ?
Замисли се малко.
на въпроса:
100% защита няма и не може да има, но поне могат да се избегнат груби грешки.
Моят съвет е да си наемеш експерт който да прецени какъв е риска и какви мерки трябва да се вземат. Има прекалено много детайли, които са съществени в случая(малките камъчета обръщат каруцата), и докато се запознаеш с тях, междувременно може да стане белята.
Успех в бизнеса.
--------------------------------
Fast. Good. Cheap. Pick any two.
|
|
Тема
|
Re: хакерчета или ХАКЕРИ
[re: mcwolf]
|
|
Автор | Paдo (Нерегистриран) |
Публикувано | 04.10.04 11:06 |
|
"за мене MS е бита карта"
Завалиите, яко са закъсали.
|
|
Тема
|
Re: хакерчета или ХАКЕРИ
[re: Paдo]
|
|
Автор |
voyager (прасе в космоса) |
Публикувано | 04.10.04 11:37 |
|
Ъхъ... ще зема да си продам акциите, чо щом за него са бита карта, явно е сериозна работата ![](http://i.dirbg.com/clubs/icons/wink.gif)
---
|
|