Zdraveite,
Neka da re4em, 4e imam sait za elektronna tyrgovia.
/ne moga da vi kaja adresa/
Pisan e na PHP i izpolzva MySQL baza danni.
Hostnat e pri

Съдържаниет е скрито
Влезте за да го видите

леле....

еми, в процеса на разработка ти ще правиш дупки в сигурноста.

за да няма външни намеси тези дупки трябва да бъдат запушени, или въобще да не бъдат създавани...

Това което трябва да направиш е да проверяваш информацията, която идва от потребителите, независимо дали чрез ПОСТ или ГЕТ метод.

Например, ако имаш форма в която трябва да си попълнят адреса за доставка, на всяко едно от полетата му приложи striptags() функцията. Ако показваш продуктите през гет метод (domain.com/item.php?id=322) винаги проверявай дали стойността на id е числова стойност с is_numeric()

if(!is_numeric($_GET['id']))

{

    header("location:mahai_se_ottuk.php");

}

else

{

    //show the product info

}

В отговор на:

---

в процеса на разработка ти ще правиш дупки в сигурноста.

---

$burov е прав, в общи линй винаги когато получаваш данни от клиент (независимо от метода) трябва да ги използваш с едно на ум.

най - чистият начин за отстраняване на дупки в сигурността е да отвориш кода на страницата - така всеки който има желание може да го погледне и да ти посочи конкретни грешки (но медала има и друга страна всеки който забележи грешка така може да я използва за пробив) ти си прецени но общо взето open sorce проектите са доста по сигурни

mersi,
a da te pitam, s tezi SQL- injectioni,mogat li da
napravqt neshto

Ако заявката е написана неправилно, могат да ти унищожат базата данни. Винаги слагай кавички (независимо единични или двойни) около променливите в заявката.

Правилно:
$query = "select * from items where item_id = '$_GET[id]' ";

Неправилно:
$query = "select * from items where item_id = $_GET[id] ";

Какво ще се получи, ако $_GET[id] съдържа "; $query = "drop database my_store

$query = "select * from items where item_id = "; $query = "drop database my_store ";

Заявката е пренаписана! Сега ще ми кажеш, ама от къде ще ми знаят името на базата данни, ама от къде ще знаят, че използвам $query а не например $my_query. Отговора е един - по метода на пробата и грешката. Ако някъде имаш die(mysql_error()), много неща могат да се научат.

Например, ако в страницата с резултатите от търсенето имаш нещо като:

http://www.domain.com/results.php?kw=test&order_by=price

всеки би се сетил, че имаш колоната в таблицата с продуктите, която съдържа цената на продукта, се казва price. А какво ще стане ако имаш die(mysql_error()) и горния ГЕТ метод го пренапиша като:

http://www.domain.com/results.php?kw=test&order_by=price222

ще получа съобщение за грешка, което ми казва "няма колона price222 в таблицата catalog - вече знам как се казва таблицата с продуктите и мога да я унищожа.

И т.н.

Редактирано от $burov на 30.09.04 17:19.

mersi mnogo,
naistina dosta polezna informaciq mi dade,
da si jiv i zdrav

това дето ти го обяснил буров 30% близо до истината.
това :
Какво ще се получи, ако $_GET[id] съдържа "; $query = "drop database my_store
$query = "select * from items where item_id = "; $query = "drop database my_store ";
Просто няма да стане (освен ако не правиш eval()), начините са други, дал ти е насоки по темата.

Имай предвид, че тези които споменаваш пренебрежително с 4ета отзад, най-често знаят поне колкото теб или доста повече.


От сума време се самонавивам да напиша една просторна статия по въпроса за хакването на web приложения, начините за защита и т.н. ама съм стигнал само до заглавието.

Имай в предвид, че PHP е много мощен език, които може да направи почти всичко, въпроса е кой и как го прави.

Булхостинг с тяхното секюрити по сървърите може да огранични пораженията до твоя сайт най-много. Него те НЯМА да ти го защитят от ТВОИ недомислици.

П.С. Само за твое успокоение : над 60% от сайтовете съдържат такива недомислици и въпрос на време и нерви е някой да ги отнесе .... Хубавото в тези случаи е, че хората които могат да го направят са загубили интерес или никога не са го имали и се занимават с по-конструктивни неща.

Специално за mcwolf, който твърди open sorce проектите са доста по сигурни - Мислиш ли че е така ? Потърси бъговинята с които се слави PHP Nuke и немуподобните системи да се убедиш че не е така. Разликата между OpenSource и твои лични е, че на свободните им намират буговете и ги фиксват сравнително бързо, докато на твоя личен проект трябва сам да свършиш цялата работа

root@ro6avia#echo rm -rf * > /bin/seek_and_destroy
root@ro6avia#/bin/seek_and_destroy

точно това имам в предвид - бъговете се изчистват много по бързо и доста по качествено - едва ли има някой който да претендира за 100% познание по даден език и всичките му особенност

а и самият факт че php е OpenSource е доста показателен не мислиш ли ?

Да и за това на някои сайтове им случваха много лоши неща (намеквам за php 4.0.6 мисля и ъплоад файл хендлърите)

root@ro6avia#echo rm -rf * > /bin/seek_and_destroy
root@ro6avia#/bin/seek_and_destroy

Друг интересен пример:
$query = "select * from items where item_id = '$_GET[id]' ";
В id слагаме "55' UNION SELECT USERNAME, PASSWORD FROM USER WHERE 'a'='a"
И се получава
$query = "select * from items where item_id = '55' UNION SELECT USERNAME, PASSWORD FROM USER WHERE 'a'='a' ";
Дотук с това да слагаш ' ' около променливите - само тава ама изобщо няма да те спаси
Просто пример, така наизуст няма да сработи, но както $burov правилно отбелязва, стигат и малко die(mysql_error()) за да се разберат имената та таблиците, после малко налучкване за колоните и става забавно

Съдържаниет е скрито
Влезте за да го видите

100% защита няма - човека пита как да си закърпи дупките в скриптовете - явно е направил каквото може и иска помощ - точно това е един от плюсовете на open sorse проектите

open source има много плюсове за тези които не искат да мислят и работят и минуси за тези които печелят пари с главата си.

-
The night rolls on like slow moving train,
and soul cries out for a handful of rain.

понеже темата не е относно open sorce няма да ти одговарям така както бих желал защото ще го сметнеш за заяждане но явно не ти е много ясно за какво става дума ?

Съдържаниет е скрито
Влезте за да го видите

open source има много плюсове за тези които не искат да мислят и работят и минуси за тези които печелят пари с главата си.

Това ще си го закача на стената . Все съм се чудил как да го формулирам.

---

Съдържаниет е скрито
Влезте за да го видите

Съдържаниет е скрито
Влезте за да го видите

Нещо не го разбрах този линк, ще ми одговориш ли какво имаш предвид с него?

---

Съдържаниет е скрито
Влезте за да го видите

Съдържаниет е скрито
Влезте за да го видите

Бе и аз не го разбрах линка ама пича е вманиачен на тема Опънат Сорс и ГПЛ и т.н. ;-))))))

И прави основната грешка да сравнява PHP или BSD с phpNuke или PostNuke да кажем, дето единствената им прилика е че са Оpen Source ...

Когато зад един проект седят 100 000 маймуни дето всяка щрака квот и дойде на акъла и прави бъг след бъг и глупост след глупост и всичко това се отразява на официалните дистрибуции е едно, а когато има СЕРИОЗНА фирма, проект, ръководители, тестери, QA и т.н. е съвсем друго. Нищо че е опен сорс ПАК.

root@ro6avia#echo rm -rf * > /bin/seek_and_destroy
root@ro6avia#/bin/seek_and_destroy

мнението си е твое - а щом не разбираш линка може би ползваш win при това краден най вероятно, а компилатори някакви ползваш ли - ако ползваш плащал ли си ги - нали си много работлив

зенда е велико нещо, преди няма и половин година го купих смол бизнес едишън и използвам енкодера от него.

-
The night rolls on like slow moving train,
and soul cries out for a handful of rain.

хаха, защо мислиш, че вояджър като работи почти на 100% за чужбина ползва нещо нелегално?

-
The night rolls on like slow moving train,
and soul cries out for a handful of rain.

линка нищо не ми говори, преди 2-3 дни попаднах на един линк от сек адвайз с СКЛ инжекшън дупка в постнюк който беше една седмица стар, и май все още не е закърпено, това означава, че всеки който има инсталирана тази версия е уязвим. Ако сорса не беше отворен, то дупката можела да бъде закърпена от екипа преди някой да я открие.

Абе отвори файл с логина на рнрбб ... с крака ако пишеш ще ти излезе по-добре.

-
The night rolls on like slow moving train,
and soul cries out for a handful of rain.

а компилатори някакви ползваш ли - ако ползваш плащал ли си ги - нали си много работлив

Аха ползвал съм. И за жаба и Ц съм ползвал, без да ги плащам и без да ги крада. А жаба и Ц не са опен сорс, просто са безплатни, защото девелопмент тулс от типа на компилаторите обикновено се правят безплатни. И майкрософт даже ти дават да си свалиш .НЕТ сдк-то безплатно.
Иначе каквото трябва, си го плащам.

---

Съдържаниет е скрито
Влезте за да го видите

Съдържаниет е скрито
Влезте за да го видите

Абе отвори файл с логина на рнрбб ... с крака ако пишеш ще ти излезе по-добре.

Тва между другото някой (май че Муслон-а) го беше поствал като пример за най-некадърния сорс, писан някога, и май не е далече от истината.
Хинт към пича, дето не е регистриран (и ся не ми се дава бацк, да му видя къв беше ника) - пхпББ е едно от най-гордите творения с опънат сорс.

---

Съдържаниет е скрито
Влезте за да го видите

Съдържаниет е скрито
Влезте за да го видите

да де, точно ония ужас го имам предвид, абе да беше само той.

-
The night rolls on like slow moving train,
and soul cries out for a handful of rain.

за gcc да си чувал нещо ?

Съдържаниет е скрито
Влезте за да го видите

майкрософт разпространяват безплатно .NET за да не изпаднат от върха
За да изпаднат от върха трябва първо да се качат дотам

Съдържаниет е скрито
Влезте за да го видите

аха, най-отвратителните идеи им идват точно на тия от phpbb... един цял ден за тоя логин и противното им base64 encoded cookie...

Само веднъж ми се налагаше да адвам опцийки към това слабоумно творение и оттогава не ща и да чувам за пхпББ. После постнюке ме зарадва почти толкова

---

Съдържаниет е скрито
Влезте за да го видите

Съдържаниет е скрито
Влезте за да го видите

и аз съм на това мнение но беше доста крайно и не исках да подхващам спор по тоя въпрос защото просто е безмислен - за мене MS е бита карта

Studioto е скъпо за безработни, иначе инвестицията се покрива много бързо (евала на индианците, че вдигнаха офшор цената до 35 зелени кинта на час за ламерщина)
-
The night rolls on like slow moving train,
and soul cries out for a handful of rain.

Редактирано от Bълk на 02.10.04 02:20.

Не че има много връзка с темата, но .... :

Покрай т'ва PHP малко сте позанемарили общата култура струва ми се ....

Съдържаниет е скрито
Влезте за да го видите

ето ти и алтернатива

Съдържаниет е скрито
Влезте за да го видите

Става дума за различни технологии.
Избора на технология е съвсем друг въпрос и в понякога не може да се променя.

Каква алтернатива ще е кдевелоп ако имам проект на НЕТ ?
Замисли се малко.

на въпроса:
100% защита няма и не може да има, но поне могат да се избегнат груби грешки.
Моят съвет е да си наемеш експерт който да прецени какъв е риска и какви мерки трябва да се вземат. Има прекалено много детайли, които са съществени в случая(малките камъчета обръщат каруцата), и докато се запознаеш с тях, междувременно може да стане белята.

Успех в бизнеса.

--------------------------------
Fast. Good. Cheap. Pick any two.

"за мене MS е бита карта"

Завалиите, яко са закъсали.

Ъхъ... ще зема да си продам акциите, чо щом за него са бита карта, явно е сериозна работата

---

Съдържаниет е скрито
Влезте за да го видите

Съдържаниет е скрито
Влезте за да го видите