Forum PHP.pl

Forum PHP.pl > Forum > Przedszkole

Reply to this topic

Start new topic

[JavaScript][PHP]Zabezpieczenie przed "hackierami" prostego skryptu

konrados Zobacz profil	9.01.2010, 11:23:03 Post #1
Grupa: Zarejestrowani Postów: 623 Pomógł: 79 Dołączył: 16.01.2008 Ostrzeżenie: (0%)	Hej, Mam taką jedną stronkę, test szybkości pisania, gdzie ludzie muszą wpisać w textarea tekst widoczny na stronie. Następnie użytkownik może dodać się do listy, dane o wynikach są wysłane via POST i do bazy mysql dodany jest użytkownik wraz z wynikiem. Wszystko wykonane w js/php (php tylko do dodania użytkownika do bazy danych). No i oczywiście pojawili się chętni na oszustwa - zapewne wysyłają po prostu zmyślone wyniki poprzez POST. Czy można się przed tym jakoś zabezpieczyć? A i drugie pytanie - nie wiecie może z jakiego konkretnie programu mogą owi spryciarze korzystać? Coś mi się kojarzy, że był jakiś taki dodatek do FF ale teraz nie mogę go znaleźć.

erix Zobacz profil	9.01.2010, 11:57:31 Post #2
Grupa: Moderatorzy Postów: 15 467 Pomógł: 1451 Dołączył: 25.04.2005 Skąd: Szczebrzeszyn/Rzeszów	cURL wystarczy; jedna linijka i już nabijają Ci statystyki. Nawet przez zwykłe file_get_contents się da (+stream_context_create). Cytat Czy można się przed tym jakoś zabezpieczyć? Ciężko będzie... Choć w sumie może wystarczyć generowanie jakiegoś unikalnego identyfikatora do żądania, wrzucenie do sesji, do pola formularza i sprawdzanie przy wysyłaniu. Ale podejrzewam, że i tak to - prędzej czy później - rozpracują. -------------------- ZCE :: Pisząc PW załączaj LINK DO TEMATU i TYLKO w sprawach moderacji :: jakiś błąd - a TREŚĆ BŁĘDU? :: nie ponaglaj z odpowiedzią via PW!

wookieb Zobacz profil	9.01.2010, 12:05:52 Post #3
Grupa: Moderatorzy Postów: 8 989 Pomógł: 1550 Dołączył: 8.08.2008 Skąd: Słupsk/Gdańsk	Musisz walidować dane od użytkownika i tyle. Koniec zabezpieczeń. -------------------- 9marshals.com, Fantastyka, Parser bbcode ( UPDATE 1.2 ), Kalkulator wielkości informatycznych

konrados Zobacz profil	9.01.2010, 13:50:06 Post #4
Grupa: Zarejestrowani Postów: 623 Pomógł: 79 Dołączył: 16.01.2008 Ostrzeżenie: (0%)	Cytat cURL wystarczy; jedna linijka i już nabijają Ci statystyki. Nawet przez zwykłe file_get_contents się da (+stream_context_create). No wiem, ale tych "hackierów" jest tak dużo i w ogóle wyglądają raczej na script-kiddies, że wydaje mi się, że raczej z jakiegoś prostego acz popularnego narzędzia korzystają. Cytat Ciężko będzie... Choć w sumie może wystarczyć generowanie jakiegoś unikalnego identyfikatora do żądania, wrzucenie do sesji, do pola formularza i sprawdzanie przy wysyłaniu. Nie wiem czy dobrze zrozumiałem, ale jak coś wrzucę do pola formularza, to odczytanie tego i wysłanie sztucznie" będzie chyba równie łatwe ? Cytat Musisz walidować dane od użytkownika i tyle. Koniec zabezpieczeń. Ale z czym mam walidować? Użytkownik może uzyskać od x do y punktów, ale zamiast zagrać naprawdę, wysyła sobie poprzez POST wymyśloną ilość punktów. No tyle jest gierek w JS w internecie, że chyba musi być jakaś metoda... ?

wookieb Zobacz profil	9.01.2010, 14:07:22 Post #5
Grupa: Moderatorzy Postów: 8 989 Pomógł: 1550 Dołączył: 8.08.2008 Skąd: Słupsk/Gdańsk	Z czym? Z możliwymi granicami wyników. W sieci jest tyle gier ale żadna nie daje 100% bezpieczeństwa przed sfałszowanymi wynikami. -------------------- 9marshals.com, Fantastyka, Parser bbcode ( UPDATE 1.2 ), Kalkulator wielkości informatycznych

erix Zobacz profil	9.01.2010, 14:17:08 Post #6
Grupa: Moderatorzy Postów: 15 467 Pomógł: 1451 Dołączył: 25.04.2005 Skąd: Szczebrzeszyn/Rzeszów	Cytat że wydaje mi się, że raczej z jakiegoś prostego acz popularnego narzędzia korzystają. cURL jest prostym i popularnym narzędziem. Cytat Nie wiem czy dobrze zrozumiałem, ale jak coś wrzucę do pola formularza, to odczytanie tego i wysłanie sztucznie" będzie chyba równie łatwe ? Skoro wysyłasz to przez JS, to jaki masz problem przechowywać ten klucz w zupełnie innym miejscu niż formularz? JS-em dodasz to pole w trakcie wysyłania. Cytat że chyba musi być jakaś metoda... ? Nie ma i nie będzie 100% zabezpieczeń. -------------------- ZCE :: Pisząc PW załączaj LINK DO TEMATU i TYLKO w sprawach moderacji :: jakiś błąd - a TREŚĆ BŁĘDU? :: nie ponaglaj z odpowiedzią via PW!

Fifi209 Zobacz profil	9.01.2010, 14:30:15 Post #7
Grupa: Zarejestrowani Postów: 4 655 Pomógł: 556 Dołączył: 17.03.2009 Skąd: Katowice Ostrzeżenie: (0%)	Sprawdzanie poprawności tekstu i obliczanie ilości punktów po stronie użyszkodnika to bardzo zły pomysł. Właśnie od tego jest php, sprawdź po stronie serwera i po sprawie - nikt raczej nie sfałszuje, bo wysyłasz tylko tekst. Ten post edytował fifi209 9.01.2010, 14:30:26 -------------------- Zainteresowania: C#, PHP, JS, SQL, AJAX, XML, C dla AVR Chętnie pomogę, lecz zanim napiszesz: Wujek Google , Manual PHP

konrados Zobacz profil	9.01.2010, 14:53:02 Post #8
Grupa: Zarejestrowani Postów: 623 Pomógł: 79 Dołączył: 16.01.2008 Ostrzeżenie: (0%)	OK, dzięki Wam, muszę to przemyśleć

« Następny starszy · Przedszkole · Następny nowszy »

Reply to this topic

Start new topic

1 Użytkowników czyta ten temat (1 Gości i 0 Anonimowych użytkowników)

0 Zarejestrowanych:

Tryb wyświetlania: Standardowy · Przełącz na: Linearny+ · Przełącz na: Drzewo

Śledź ten temat · Wyślij temat na e-mail · Wydrukuj ten temat · Subskrybuj to forum

Aktualny czas: 21.08.2025 - 23:38

Powered By IP.Board © 2025 IPS, Inc.
All changes by PHP.pl Administrators

Hosting zapewnia

NQ.pl hosting, trac, svn