Forum PHP.pl

Czy ja powiedziałem, że to jest uniwersalny kod? Nie rozumiesz kodu co podałem?
---
Bardziej widzą problem w dynamicznych IP.

A tak BTW to zabezpieczeniem przed atakami GET jest m.in:

[PHP] pobierz, plaintext 
<?php
$id = $_GET['id'];
if (is_numeric($id)) {
// kod dalszy
} else {
echo'Nie kombinuj!';
}
?>
[PHP] pobierz, plaintext 

Znowu Ameryki nie odkryłeś (IMG:http://forum.php.pl/style_emoticons/default/tongue.gif) . Poza tym lepiej już użyć is_int(po co przy ID float?), rzutowania(int) lub napisać jakąś klase do tego, np. w swoim frameworku mam tak:

[PHP] pobierz, plaintext 
<?php
$id = XF::getRequest()->getInteger('id', 0, Request::POST); // Klucz, wartosć domyślna, typ(POST, cookie, server)
?>
[PHP] pobierz, plaintext 

Ten post edytował Xniver 21.03.2008, 23:17:50

nie wydaje mi się :-) a dlaczego nie zostało juz powiedziane pare stron wcześniej

ten kod zamienia znaki

i

na

i


Zatem zabezpiecza, bo blokuje np. zapytania SQL z GEt.

1. Twój światopogląd ogranicza się do mySQL, nie w każdym systemie db znak "\" jest znakiem ucieczki
2. skoro addslaashes broni przed SQLi to po co powstała funkcja mysql_real_escape_string ? dla fazy?

Ten post edytował bełdzio 23.03.2008, 12:34:25

Czy ja napisałem ze to zabezpieczy przed wszystkim?

W PHP można to zrobić, poprzez wykonanie na każdym tekstowym parametrze wykorzystywanym do budowy zapytania wbudowanej funkcji addslashes(), która dodaje backslash przed znakami, takimi jak ', " czy \, dzięki czemu znaki te nie są traktowane jak znaki specjalne. Dostępne są również funkcje specyficzne dla poszczególnych silników, takie jak np. oferowana przez serwer MySQL mysql_real_escape_string().
To robi moja funkcja.

@MajareQ

Kombinujesz, a nic nowego nie piszesz. Po co zabezpieczać ciągi znaków i zamieniać " na \", gdy to ma trafić do pliku. Zabezpiecza się i kontroluje tak jak to tego wymaga.
Do budowy zapytań używa się specjalnych funkcji, bo jak MySQL ma \' to PgSQL czy MSSQL (jeśli dobrze pamiętam) ma '' (podwójny) a tamto \' rozwali kwerendę.
Do sprawdzania integer lepiej użyć takiego sprawdzenia, czy jest dany parametr, czy nie jest pusty, a potem ctype_digit() bo w ciągu nie może być nic oprócz cyfr. Bo jak rzutujemy to będzie nie to co chcemy, nie wykryjemy błędnego parametru, tylko wyświetlimy dla np. id = 0.

Ale to wszystko było, przeczytaj i dopisz jak czegoś będzie brakować, a nie powtarzaj to co już jest.

A jednak.. Nie jestem w 100% pewny ale wysylajac mozna ustawic nazwe tego pola na "a_name" i zmienna sesyjna tez na "a_name" - a wtedy już to zabezpieczenie nei działa..

Znalazłem w sieci ciekawą stroną z materiałami video związanymi z atakami na strony internetowe

http://www.uw-team.org/index.php?id=videoarty

Na filmach między innymi:

Wstęp do ataków typu SQL Injection
Atak SQL Injection z użyciem Union Select
SQL Injection - union select + komentowanie kodu
SQL Injection - wykrywanie struktury bazy danych
Blind SQL Injection - odgadywanie haseł po znaku
Błędy w użyciu funkcji include()
Includowanie kodu PHP z innego serwera
Session Poisoning - zatruwanie sesji PHP
XSS - Cross Site Scripting
SQL Injection - dopisywanie danych do bazy
XSS - metody zaawansowane
PHP - Register Globals
PHP - baza userów w pliku TXT

i pare innych...

Witam wszystkich,

Po przeczytaniu całego tematu wzdłuż i w szerz mam wrażenie że już nic nie wiem. Wiele sposobów cała masa kodu który dla każdego kto to czyta chyba wprawia w zawrót głowy. Czy znalazło by się chociaż kilka osób które w prosty i nie zagmatwany, możliwie dobrze skomentowany sposób przedstawiłyby jak poprawnie stworzyc prosty i za razem "bezpieczny' szkielet strony i może umiescilyby to jako przypięty temat... tylko prosiłbym by wypowiedział się ktoś naprawde dobrze obeznany z tematem.

Zakładam schemat w którym za pomocą wywołania o postaci:

[HTML] pobierz, plaintext 
http://moja_strona.pl/index.php?m2=grafika2d
[HTML] pobierz, plaintext 

powoduje wygenerowanie strony według: ( tak to obecnie działa na mojej stronie )

[PHP] pobierz, plaintext 
<?php if(empty($_GET['m2']) or $_GET['m2']=="portfolio_menu_0"){include("portfolio_menu_0.php");}
if($_GET['m2']=="grafika2d")   {include("portfolio_menu_1.php"); }
if($_GET['m2']=="grafika3d")   {include("portfolio_menu_2.php"); }
if($_GET['m2']=="cv")            {include("portfolio_menu_3.php"); }
if($_GET['m2']=="blog")          {include("portfolio_menu_4.php"); }
?>
[PHP] pobierz, plaintext 

Może na bazie tego ktoś przedstawilby warianty zabezpieczenia ( + ) i ( - ) danego rozwiązania ? To dośc proste ale myśle ze wielu początkujacych z pewnoscią będzie szukac wlasnie tego.

Ten post edytował renderman 9.11.2008, 19:51:48

jeśli chodzi o inkludowanie plików zerknij tu -> http://www.beldzio.com/bezpieczenstwo-dostepu-do-plikow

Szczerze mimo że widze jakies sensowne rozwiązania dla mnie jako poczatkujacego nawet implementacja tego w wlasnym kodzie jest trudna. Zapewne 100 podobnych do mnie osob przegladajac rozne rozwiaznia dojdzie do tego samego wniosku. Można odbic piłeczke i powiedziec... - ucz się dalej, ale z bezpieczeństwem nie ma żartów. Nie chcialbym osobiscie by jakis haker z mlekiem pod nosem rozwalił cała strone a nie daj boże serwer tylko dla tego że moj kod nie był do końca bezpieczny. To co zamieściłem w poprzednim poscie jest juz tak oklepanym tematem na wszystkich forach a mimo to nikt nie zebrał sie ( mowie tu o tych co znaja to na wylot i wiedzą co z tym zrobic ) by pokazac reszcie jak to powinno byc poprawnie krok po kroku.

Ogólnie mówiąc niby zasada jest prosta: "To co podaje lub może w jakiś sposób zmodyfikować użytkownik trzeba przefiltrować"... Dochodzą do tego elementy jakości napisanego kodu (czytaj: dużo doświadczenia). Nie liczcie, że od razu będziecie super administratorami swoich serwisów, ale warto pamiętać o tej zasadzie, którą napisałem powyżej. Chodzi tutaj w szczeególności o tablice POST, GET, COOKIES, SESSION, REQUEST czy SERVER. Cookolwiek jest wyświetlane na stronie lub pakowane do jakiejś bazy i te informacje są podane lub mogą być w jakiś sposób podane przez użytkownika trzeba do przefiltrować.

Gdzies obiło mi się o uszy... lepiej iśc w frameworka niż tworzyc wszystko od podstaw. Zakładam jednak że nie chce frameworka dlatego że:

1: strone czesto da się zrobic duzo prosciej i nie konieczny jest do tego cały silnik jak joomla tylko po to by uzyc jednej funkcji.
2. cała masa komplikacji, zmian, aktualizacji.

Chcialbym znaleźc proste rozwiaznie dla prostej strony bez udziwnień, byle by bylo bezpiecznie przy pomocy np w.w. includów . Jak to będę w stanie ogarnac to wtedy mozna myslec o dalszej nauce i rozwijaniu takiej strony.. Wole zrobic mniej niż zrobic źle..
Może ktos zaproponuje inne lepsze rozwiazanie od mojego?

Ten post edytował renderman 9.11.2008, 21:37:30

Ja piszę przeważnie wszystko w edytorze nano :-) Ale jeżeli mam kilka tysięcy linijek to przechodzę na Notepada ++ :-)) Po zapisaniu w Notepadzie ++ takie duże pliki wyglądają później chaotycznie w nano czy pico :-)

Ale pozostając bardziej w temacie to mam pytanie dotyczące zmiennych $_SESSION. Czy użytkownik serwisu www może w jakiś prosty sposób dostać się do zawartości tych zmiennych a jeżeli tak to czy może je w jakiś sposób zmienić zakładając, że używamy np. standardowych ciasteczek.

np. jeżeli mamy $_SESSION[uprawnienia_admina]='NIE' to czy ktoś mógłby się do tego dostać i ustawić na 'TAK' (IMG:http://forum.php.pl/style_emoticons/default/questionmark.gif)

Jeśli masz babola w skrypcie, to tak.

Można również edytować plik sesji, jeśli serwer jest "zabezpieczony" (dane sesji, to domyślnie zserializowana tablica zapisywana w pliku znajdującym się we współdzielonym folderze).

http://www.beldzio.com/bezpieczenstwo-mechanizmu-sesji

Witam!

Pisałem już w innym wątku o mojej "metodzie" zabezpieczenia się przed eksperymentami polegającymi na wpisywaniu przez userów wartości lub znaków do paska url na danej stronie serwisu www. Moja metoda okazała się nieskuteczna i beznadziejna... :-( Może dobra na szarych, nieznających się na hakowaniu eksperymentatorów... :-)
Czy jest jakiś sposób (skuteczny) na to, żeby jak np. jesteśmy na stronce http://www.xxxx.pl/index.php?test=1&test2=2, to żeby nie można było RĘCZNIE WPISYWAĆ żadnych zmiennych do paska url. Nie chodzi mi o to, żeby sprawdzać pojedyńczo wpisane przez użytkownika wartości, tylko o to, żeby a priori była taka możliwość wykluczona :-)

Ten post edytował mlattari 2.03.2009, 17:54:52

Usun stronke z serwera, wylacz serwer dzieki czemu skutecznie zabezpieczysz sie przed danymi przesylanymi przez usera.

Zawsze tez mozesz powiedziec userom zeby nie wchodzili na twoja stronke, pokasowali przegladarki - przez co nie beda mogli modyfikowac tego URLa.


Po prostu: twoj pomysl jest idiotyczny, i twoim zadaniem jest zabezpieczyc skrypt tak zeby nie poniszczyl sie, danych, dla dowolnych zmiennych wpisanych przez usera w URL.

hmmm a dlaczego pomysł jest idiotyczny? Może coś niejasno się wyraziłem :-) Po kiego ma ktoś mi wpisywać jakieś zmienne ręcznie w pasku jak wejdzie na serwis? Czy np. na tym forum też trzeba to robić? Po co? Wiadomo co ma to na celu :-) Swoją drogą skrypt też musi mieć zabezpieczenia ale chciałem w ten sposób osiągnąć dodatkowy poziom zabezpieczenia właśnie przed idiotami i eksperymentatorami :-) Można czy nie?

Ten post edytował mlattari 2.03.2009, 18:29:36