[WWW] Strona o bezpieczeństwie komputerowym Opcje

[materkamil]

Stworzyłem taką stronę o bezpieczeństwie, komptuterach i programowaniu w PHP:

http://www.materdefense.ugu.pl

I chciałbym się dowiedzieć jak ocenicie tą stronę, układ itp. Od razu powiem że pisze artykuły takie, jak mam na coś ochotę, tzn. nie wwale 20 bezsensów tylko jak wymyśle jakiś ciekawy temat to napiszę. Do tego kurs PHP od kompletnych podstaw. Nie toleruję kursów pisemnych, dlatego postanowiłem nagrać jak, gdzie i co.

Jak podoba się strona? Co zmienić? Czy to ma sens? Darmowy hosting i reklamy, a może treść się liczy bardziej? Proszę o opinię

[Szymciosek]

1) Lewa kolumna ta niebieska wydaje mi się zbędna albo postaraj się ją jakoś lepiej zagospodarować, bo masz miejsce do popisu.
Tu się tyczy też fakt, że na każdej podstronie w tej kolumnie jest to samo:

Kod

Mater Defense - to strona o bezpieczeństwie komputerowym oraz programowaniu przeznaczona dla początkujących pasjonatów informatyki. Jednak strona i jej autor nie odpowiada za niezgodne z prawem wykorzystywanie treści na niej zawartych. Wszelkie informacje zawarte są jedynie w celach edukacyjnych.

2) Graficznie strona też leży, nie wiem jakie masz doświadczenie, ale nie widzi mi się po prostu taki układ
3) Co zrobisz przy ilości artykułów równych np 100 ? Będą podstrony ?
4) Jak już dajesz filmiki to embeduj je na swojej stronie, bez sensu jest przechodzenie na YT
5) Mówisz o kompletnych podstawach php, a już zaczynasz od wypisania tekstu nie wspominając o tym, że nie musimy korzystać z nawiasów możemy też zrobić echo 'dupa'; i tekst też zostanie wyświetlony. Zrobiłeś też kawałek o zmiennych, zmienna $x, która trzyma tylko tekst, nie wspomniałeś, że zmienne w PHP mogą przyjmować różne wartości, dalej... wspomniałeś o $_GET['']; ale mogłeś dać bardziej konkretny przykład typu wysłanie i odebranie tej zmiennej przez $_GET. To tyczy się pierwszej lekcji, reszty nie oglądałem
6) Ten licznik z lewej strony i to coś pod licznikiem możesz albo wywalić albo gdzieś dać w miejscu mniej widocznym.

Co do samego pomysłu: Jeśli zrobisz to dobrze i rzeczywiście zainteresujesz się PHP i robieniem na ten temat DOBRYCH filmików (nawet sobie grupuj np "Lekcja 1: Zmienne") to ma to jakąś szansę, co do serwera, na początek niech sobie będzie darmowy, ale jeśli chcesz coś większego rozkręcić to sugeruję kupno czegoś lepszego.

[!*!]

Obejrzałem część 3. Chcesz "uczyć" kogoś jak pisać bezpieczne skrypty w PHP tak? A sam nie znasz podstaw...
Jeśli to Ci pomaga (kręcenie filmików) w tym że sam się czegoś uczysz, to ok, ale nie publikowałbym tego pod hasłem "bezpieczne". Pokazujesz innym złe nawyki.

[PHP] pobierz, plaintext 
<? // tu powinno być <?php
 
$zmienna = $_POST['costam']; // POST i innych superglbalnych nie przypisujemy do zmiennych, bo można je łatwo nadpisać, szczególnie w Twoim przykładzie.
 
?>
 
<form method=post > // a gdzie cudzysłowy? nie każdy pisze w html5
 
[PHP] pobierz, plaintext 

Poza tym gdzie sprawdzasz czy formularz został wysłany, czy zmienne istnieją, jakiego są typu? Nigdzie, więc przy bezpieczeństwie to nawet nie leży, bo tą Twoją zmienną łatwo nadpisać.

Naucz się sam bezpiecznie kodować, a później publikuj o tym. Aha no i kodu nie widać na tych filmikach... a to chyba ważniejsze niż pasek windows.

[materkamil]

Dzięki za opinie. Teraz ja się wypowiem.

Odnośnie kursu PHP - racja. Może skrypty nie są aż tak bezpieczne, ale działają. Tak samo przy lekcji 4 i 5 - do plików txt. Tam można prościutki XSS wsadzić i cała strona leży bo nie ma żadnej obrony. Ale nie o to mi chodzi. Z biegiem czasu będzie o zabezpieczaniu tych skryptów, bo na razie to są skrypty przeznaczone na jakieś proste wyświetlanie tekstu.

Odnośnie <? a <?php - racja. To nie jest do końca właściwe ale na pewno prostsze i działa.

Przypisanie POST do zmiennej jest najłatwiejszym przykładem wyświetlenia tekstu. Również niebezpieczne - ale działa.

<form method=post> - i tu się zacznie jazda. Oczywiście to przeglądarka odpowiada za ukazywanie treści strony, gdzie cudzysłowie są zbędne. Nie ma sensu pisać coś, co jest nie potrzebne do działania skryptu. Jak widzicie upraszczam skrypty do minimum:

<input type=submit> chociaż poprawnie powinno być:
<input type="submit" value="Wyślij">

Tylko to drugie chochaż poprawne 2 razy dłuższe i trudniejsze.
W następnych poradnikach jeszcze zrobi się coś o funkcjach oraz przejdzie się do tej głównej lekcji czyli praca z bazą danych i wtedy opowiem o tych wszystkich strip_tags i tych innych

Drugie. GRAFIKA. Niestety z grafiki leże bo nie mam kompletnie ani zdolności ani chęci. Dlatego szablon musi już taki zostać

Trzecie: Kod widać ale trzeba ustawić HD rozdzielczośc

[redeemer]

... Może skrypty nie są aż tak bezpieczne, ale działają ...
... To nie jest do końca właściwe ale na pewno prostsze i działa ...
... Również niebezpieczne - ale działa ...

Zostawię to bez komentarza

[xxdrago]

Rozumiem, że cała strona jest napisana w HTML? Proponowałbym użyć PHP, bo jeżeli masz zamiar rozwijać serwis to zaraz się załamiesz gdy np. będziesz coś chciał dodać do menu, chce ci się edytować każdy artykuł?

Jeżeli jesteś "programistą" to można by się pokusić o:
http://validator.w3.org/check?uri=http%3A%...ine&group=0

Wydaje mi się, że można by było zmienić hosting:
http://www.000webhost.com/

Wtedy strona bez reklamy miała by swój "urok":)

Ten post edytował xxdrago 25.04.2012, 10:10:33

[materkamil]

No właśnie wiem że pasowało by postawić bazę danych i ładnie to zrobić z PA i kiedyś na pewno się zmuszę i to zrobię. Np: wczoraj się męczyłem z panelem administracyjnym tu:

http://astrouniverse.netii.net/

Jak będzie większy ruch to zrobię to. Mam już bardzo dużo odwiedzin i chyba warto. Ok - zabieram się do roboty. A co najgorsze nienawidzę CMS i dlatego całe to wszystko programuję od podstaw (PA, Bazę, Newsy, Mechanizm strony, itp)

Aha i jeszcze odnośnie kursu PHP - strona jest o bezpieczeństwie, a kurs jest o podstawach. Większość innych kursów również zaczna się niebezpiecznie i podobnie - dlaczego materdefense ma być inny?

Ten post edytował materkamil 25.04.2012, 10:30:13

[!*!]

... Może skrypty nie są aż tak bezpieczne, ale działają ...
... To nie jest do końca właściwe ale na pewno prostsze i działa ...
... Również niebezpieczne - ale działa ...

To Ty robisz stronę o bezpieczeństwie czy o kodach PHP które działają? Zdecyduj się w końcu, po pokazujesz na swojej stronie bzdury które w ogóle nie powinny ujrzeć światła dziennego.

Aha i jeszcze odnośnie kursu PHP - strona jest o bezpieczeństwie, a kurs jest o podstawach.

O ludzie... Za takie coś powinni przecinać kable od netu.

Tylko to drugie chochaż poprawne 2 razy dłuższe i trudniejsze.
W następnych poradnikach jeszcze zrobi się coś o funkcjach oraz przejdzie się do tej głównej lekcji czyli praca z bazą danych i wtedy opowiem o tych wszystkich strip_tags i tych innych

Trudniejsze dla Ciebie? I co ma strip_tags do bazy?

Rób coś porządnie, albo wcale, to co pokazuje to fuszerka, tłumacząc się że kurs jest o podstawach, a strona o bezpieczeństwie. To co jest takiego bezpiecznego w tym co prezentujesz?

Trzecie: Kod widać ale trzeba ustawić HD rozdzielczośc

Tak, bo z komórki czy innego urządzenia przenośnego, nie mam co robić tylko czekać aż mi się wersja HD zbuforuje. Jakbyś nie mógł robić przybliżenia.

Ten post edytował !*! 25.04.2012, 15:01:06

[materkamil]

powinni przecinać kable od netu

Przecinaj to zostaniesz ty i banda dzieci neostrady którzy grają w jakieś idiotyczne gry. Znasz PHP? Jeśli tak to zapomniałeś jak uczyłeś się PHP? Myślisz że od razu robiłeś strony 100% bezpieczne oparte na szyfrowaniach md1000 która od razu razi prądem wszystkich włamywaczy?

Widziałeś w życiu jakiś kurs PHP? Wpisz sobie w google "Kurs PHP" i zobacz co tam jest. A jak nie to stwórz własny kurs i opowiadaj o nie wiadomo czym, albo zielonego od razu wprowadź w programowanie obiektowe, bo przecież to łatwe co? Dla ciebie... Myślisz że początkujący będzie na zwykłą zmienną $idiota = $_GET["idiota"]; i echo - stosował setki zabezpieczeń, wycinań tagów obrona przed XSS, Zwierzętami, i jeszcze czymś.

Tak, bo z komórki czy innego urządzenia przenośnego, nie mam co robić tylko czekać aż mi się wersja HD zbuforuje. Jakbyś nie mógł robić przybliżenia.

Nie mogę przybliżać bo większość ludzi ma internet szybszy niż w PRLu i komputer i bez problemu to oglądnie.

Przecież aby robić bezpieczne strony, trzeba je najpierw umieć w ogóle tworzyć, a ten kurs ma tego nauczyć

[!*!]

O bulwersik?

Przecinaj to zostaniesz ty i banda dzieci neostrady którzy grają w jakieś idiotyczne gry. Znasz PHP? Jeśli tak to zapomniałeś jak uczyłeś się PHP? Myślisz że od razu robiłeś strony 100% bezpieczne oparte na szyfrowaniach md1000 która od razu razi prądem wszystkich włamywaczy?

Gdy ja uczyłem się PHP to Ciebie jeszcze nie było, a już na pewno nie wciskałem innym kitu że potrafię innych czegoś nauczyć. To TY jesteś na etapie nauki i próbujesz nauczać?

Widziałeś w życiu jakiś kurs PHP? Wpisz sobie w google "Kurs PHP" i zobacz co tam jest. A jak nie to stwórz własny kurs i opowiadaj o nie wiadomo czym, albo zielonego od razu wprowadź w programowanie obiektowe, bo przecież to łatwe co? Dla ciebie... Myślisz że początkujący będzie na zwykłą zmienną $idiota = $_GET["idiota"]; i echo - stosował setki zabezpieczeń, wycinań tagów obrona przed XSS, Zwierzętami, i jeszcze czymś.

Widziałem nie jeden kurs PHP i daleko Ci do nich. Ktoś kto bierze się za PHP, musi mieć świadomość tego co i jak trzeba wykorzystać aby było to dobre, a nie brać pierwsze lepsze... jeszcze mu tak zostanie i jego super serwis wyłoży się na jednym zewnętrznym zapytaniu, bo niby skąd miał wiedzieć że to jest bebe i tak nie można skoro w KURSIE tak było.

Nie mogę przybliżać bo większość ludzi ma internet szybszy niż w PRLu i komputer i bez problemu to oglądnie.

Tak, szczególnie na urządzeniach mobilnych. To nie Ty masz decydować o tym co kto używa.

Przecież aby robić bezpieczne strony, trzeba je najpierw umieć w ogóle tworzyć, a ten kurs ma tego nauczyć

To po co ta gadka o bezpieczeństwie? Skoro kurs tego nie uczy.

Ten post edytował !*! 25.04.2012, 15:34:37

[Niktoś]

To po co ta gadka o bezpieczeństwie? Skoro kurs tego nie uczy.

!*! dobrze zauważył, tworzenie zabezpieczeń to temat rozległy,a ty na stronie przedstawiasz podstawy programowania.Czyli strona nie została poprawnie nazwana.Ktoś wchodzi na stronę bo chce dowiedzieć się czegoś więcej na temat bezpieczeństwa w skryptach PHP , konfiguracji serwera,czy baz danych,a widzi podstawy tworzenia formularzy.
Po prostu nazwa nieadekwatna do tego co prezentujesz.

O ludzie... Za takie coś powinni przecinać kable od netu.

!*! nie bądź okrutny,człowiek kreatywny ,coś tam próbuje wyskrobać,stara się ,a ty mu kable chcesz odcinać

Zmień nazwę strony z tematyki bezpieczeństwa na tematykę o podstawach programowania.

Ten post edytował Niktoś 25.04.2012, 15:42:59

[vieri_pl]

Fajnie, że masz chęci, że interesujesz się tym co robisz ale najpierw dojdź do pewnego poziomu by uczyć innych.

Dla początkujących lepsza jest książka niż kurs video.

Strona mi się nie podoba, nie traktuje ona o bezpieczeństwie aplikacji internetowych więc nie za bardzo jest tu co oceniać.

[materkamil]

No może macie rację z tematyką. Miało być bardziej o bezpieczeństwie, ale zeszło z wyznaczonego celu. Oczywiście strona nie ma nic wspólnego z programowaniem, a ten kurs PHP to jedynie deser przed treścią.

I jeszcze jedno: Strona skierowana jest dla początkujących, dlatego też napisana jest językiem początkującego używając innych, prostszych jednak często nie właściwych dla zaawansowanych zwrotów, które jednak początkujący rozumie.

Dla początkujących lepsza jest książka niż kurs video.

Całkiem się z tym nie zgodzę. Sam nie potrafię zdobywać wiedzy z książek i wolę korzystać z kursów wideo dzięki czemu widać "jak to ktoś robi".

bezpieczeństwie aplikacji internetowych

Chyba jednak ten kurs PHP pomieszał główny cel strony. Oczywiście chodzi o ogólne bezpieczeństwo korzystania z sieci, komputera, ew. skryptów ale nie potężnych aplikacji internetowych

[Niktoś]

Tam widziałem o adresach MAC ,Maskowaniu IP itp.Nic o SSL i IPsec, zainteresuj się tym.Budowanie certyfikatów opierając się o OpenSSL też do najłatwiejszych nie należy,a o IPsec mało kto słyszał(zwłaszcza początkujący programiści) a jest równie dobry co SSL jak nie lepszy.To tak mała podpowiedź ,co mógłbyś napisać ,bo ubogo na razie na stronie Twej.

Czasem strony identyfikują użytkownika na podstawie cookies. Odwiedzając stronę bez wszelkich proxy, itp. strona daje nam cookies. Nie chcemy stronie pokazać swojego cookies i się zdradzić po bramkach proxy itp. Więc - wyłączamy obsługę cookies

No to do mojego serwisu ,jak i innych już byś się np.nie zalogował.

Ten post edytował Niktoś 25.04.2012, 16:27:45

[Twist]

IMO kursy video nie sprawdzaja sie przy nauce kodowania.

Prosty przyklad - gdy kod jest dluzszy niz 10 linijek (czyli prawie zawsze) - robi sie balagan, bo:
1. Nie mozna latwo wrocic do poprzedniej strony
2. Nie ma spisu tresci
3. Nie mozna przykleic zakladki (ja tak zawsze robie)
4. Nie mozna skopiowac kodu
5. Generlanie kod to znaki ASCII . Po co filmowac znaki? To nie photoshop, czy flash.

[materkamil]

Ja jak uczę się czegoś, lubię widzieć jak robi to ktoś inny. Przykładem jest np: nie związane z informatyką ustawianie montażu w teleskopie. Przewaliłem dziesiątki stron o jego ustawianiu i nic, dopiero jak ktoś mi pokazał i znalazłem na internecie wideo-poradnik jak ustawić, od razu wiedziałe,

Nagrywanie znaków - racja ale z komentarzem, z informacją gdzie to, jak to. Myślę że takie wideokursy to bardzo dobry sposób na naukę.

Oczywiście z biegiem czasu będzie dużo tego na stronce. Nie piszę, żeby było dużo tylko piszę to co wydaje mi się bardzo ciekawe i interesujące. Nie piszę trudnych rzeczy, bo to raczej przeznaczone jest dla "zielonych". Jednak może napiszę coś trudniejszego i ciekawszego bo takie proxy, MAC, IP to bardzo pospolite rzeczy

[usb2.0]

mi sie wydaje że idea jest dobra, bo czemu nie, zawsze sam sie czegoś nauczysz i może ktoś skorzysta

[vieri_pl]

Ja jak uczę się czegoś, lubię widzieć jak robi to ktoś inny. Przykładem jest np: nie związane z informatyką ustawianie montażu w teleskopie. Przewaliłem dziesiątki stron o jego ustawianiu i nic, dopiero jak ktoś mi pokazał i znalazłem na internecie wideo-poradnik jak ustawić, od razu wiedziałe,

Nagrywanie znaków - racja ale z komentarzem, z informacją gdzie to, jak to. Myślę że takie wideokursy to bardzo dobry sposób na naukę.

Oczywiście z biegiem czasu będzie dużo tego na stronce. Nie piszę, żeby było dużo tylko piszę to co wydaje mi się bardzo ciekawe i interesujące. Nie piszę trudnych rzeczy, bo to raczej przeznaczone jest dla "zielonych". Jednak może napiszę coś trudniejszego i ciekawszego bo takie proxy, MAC, IP to bardzo pospolite rzeczy

Jeśli chodzi o videotutoriale o np. PHP to zawsze musisz dostarczać kody źródłowe pokazanych przykładów, musisz także dbać o to by odpowiednią ilość czasu spędzać na pokazaniu kodu, to nie jest takie hop nakręcić film i już wiemy co i jak. Z doświadczenia wiem, że czasem lepiej położyć się na kanapie, wziąć książkę i zacząć czytać. Może teraz w dobie smarfonów i tabletów ludzie będą oglądać videotutoriale, nie wiem.

Wiadomo też, że jeśli szukasz jakiś informacji "How to" w PHP to łatwiej jest znaleźć krótki poradnik z listingiem kodu i jest to wygodniejsze niż odpalanie jakiegoś videotutoriala.

Jednak może napiszę coś trudniejszego i ciekawszego bo takie proxy, MAC, IP to bardzo pospolite rzeczy

Młody jesteś chyba (sądząc po głosie z video), a mi się zdaje, że troszeczkę przechwalasz się tym, że znasz jakieś tam terminy itd. Niestety prawda jest taka, że tym co pokazałeś tu na forum udowodniłeś, że aktualnie jesteś słaby więc na przyszłość życzę troszkę dystansu i pokory.

[Fifi209]

Na uw-team.org znajdziesz video art'y kogoś kto ma troszkę większe pojęcie o programowaniu (a też robi błędy czasem), jednak to znacznie lepszy kurs jak i pokazanie podstawowych ataków niż u ciebie.

[materkamil]

Dużo kursów jest na internecie i to bardzo dobrze. Przynajmniej ludzie będą mieli parę do porównania i więcej się nauczą. Jeśli chodzi o mnie to ja te podstawowe kody mam już dobrze "oklepane" i sądzę że nic mnie to wiele nie nauczy.

A z tymi kodami źródłowymi to racja. Na pewno je dodam. Przy okazji dodam nowe części

Ten post edytował materkamil 25.04.2012, 20:44:17

[Fifi209]

Zrób coś z tym stukaniem w klawiaturę, poza tym ustaw sobie podbicie mikrofonu o 20 db bo ledwo cię słychać.

[materkamil]

Właśnie też z tym miałem problem ale w 4 części już tego nie ma.

[!*!]

Dużo kursów jest na internecie i to bardzo dobrze. Przynajmniej ludzie będą mieli parę do porównania i więcej się nauczą. Jeśli chodzi o mnie to ja te podstawowe kody mam już dobrze "oklepane" i sądzę że nic mnie to wiele nie nauczy.

To po co kolejny który uczy złych nawyków?

[materkamil]

Lepiej żeby ktoś się nauczył "coś tam pisać" i aby strona mu działała, a nie żeby się zniechęcił przez trudne kody i w ogóle nie pisał.

Ale otwieranie plików w części 4 jest przecież poprawne więc gdzie te "złe nawyki"

[!*!]

Lepiej żeby ktoś się nauczył "coś tam pisać" i aby strona mu działała, a nie żeby się zniechęcił przez trudne kody i w ogóle nie pisał.

Ale otwieranie plików w części 4 jest przecież poprawne więc gdzie te "złe nawyki"

PHP to człowiek

?

Poświęciłem te 2:59 aby zobaczyć co tam naskrobałeś i zmartwię Cie. To nie jest poprawne. wystarczy że nadpiszę zmienną z nazwą pliku i już mam nieograniczony dostęp do każdego pliku na serwerze. Sprawdź czym jest basename(), file_get_contents().

Pokazujesz jak "coś tam pisać", ale jakościowo jest marnie i pełno tego typu lewizny w innych kursach, bo głównie są sprzed kilku lat. Powielasz je tylko, nie wprowadzając niczego nowego co dzisiaj jest standardem.

Ten post edytował !*! 26.04.2012, 10:54:04

[materkamil]

http://astrouniverse.netii.net/

Chyba muszę popracować nad większymi zabezpieczeniami

[!*!]

http://astrouniverse.netii.net/

Chyba muszę popracować nad większymi zabezpieczeniami

Proponowałbym zacząć od manuala i kilku artykułów na blogach ludzi co kodują od kilku lat.

[materkamil]

No racja, i wpadkę zaliczyłem.

Ten post edytował materkamil 26.04.2012, 12:10:34

[Niktoś]

Ostatni post ,zalicza się do trollingu,albo offtopicu.
Śledząc temat ,to dopiero zaczynasz jeżeli poznajesz czym jest sesja.

PS.Zwróć uwagę na flagi httpOnly i secure-bo związane z bezpieczeństwem.
Nie rób drugiego offtopica

[Substr]

Nie rozumiem w ogóle jak możesz pisać o bezpieczeństwie, jeśli kompletnie nic o nim nie wiesz. Jak dla mnie to marna prowokacja. Na stronie którą dałeś do oceny wszystko jest w html, więc odniosę się do tego co zakodowałeś, czyli: http://astrouniverse.netii.net/

wybrane błędy jakie popełniłeś:
- Brak filtrowania rozszerzenia przesyłanego pliku, mogę przesłać plik *.php i go odpalić.
- Przesłany plik ma taką samą nazwę jaka podaliśmy, powinien mieć losowa aby uniknąć nadpisywania.
- Pliki przesyłane są do katalogu głównego. Pomyślałeś co się stanie gdy wyślemy plik o nazwie index.php i zapisze się tam gdzie Twój index?
- Ścieżka do panelu admina http://astrouniverse.netii.net/pa.php, lecz bez hasła możemy wejść tu: http://www.astrouniverse.netii.net/panelad...aszegoforum.php [BYPASS] i cieszymy się panelem w którym jest napisane, że taka długa nazwa aby nikt nie zgadł.
- Hasło do panelu nie jest kodowane.
- Brak sesji.
- W panelu widnieje link do pliku http://www.astrouniverse.netii.net/strukturakatalogowa.html w którym były podane niezakodowane hasła do ftp.

Widać, że wakacje idą i dzieci się nudzą

btw. http://www.astrouniverse.pl/viewtopic.php?...98dc1c80be#1113


Ten post edytował Substr 26.04.2012, 12:30:37

[materkamil]

Brak filtrowania w przesyłaniu plików .php?

Matko jedyno jestem nienormalny. Dzięki ze zauważyliście to. Szukałem błędu w logowaniu a tu w przesyłaniu jest błąd. Już to naprawiam

Ten post edytował materkamil 26.04.2012, 12:38:10

[!*!]

Substr - Ty haxorze!

Hosting już został naprawiony. Zostały wprowadzone nowe mechanizmy bezpieczeństwa, które nie "puszczą" tak łatwo jak te poprzednie

Jakbym miał chwilę to zapytałbym czy się założysz.

[materkamil]

Nie!

Czekać, bo zabezpieczam

[Substr]

Nie rozumiem, jak osoba pisząca o bezpieczeństwie mogła popełnić taki błąd? Przecież to jest logiczne, że użytkownikowi nigdy nie można ufać i należy przygotować się na wszystkie możliwości.

[Niktoś]

Podstawowa metoda ,filtracja danych wejściowych.

[!*!]

Czepiacie się

[Niktoś]

JA trochę klepie,ale chyba nie odważyłbym się na taki temat strony.Temat tak bardzo rozległy,a tym samym łatwo o potknięcia i kompromitację.

Dla osoby uczącej się ,nie powinna być źródłem odniesienia.

[materkamil]

To trochę inaczej miało wyglądać. Wątek miał być o materdefense, a ten hosting był kompletnie niezabezpieczony na ataki. Mamy takich użytkowników, którzy nie mają pojęcia co to HTML i dlatego nie zabezpieczałem go aż tak. Ale widzę że trzeba to zrobić.

[!*!]

a ten hosting był kompletnie niezabezpieczony na ataki.

To nie hosting, a Twoje skrypty.

[materkamil]

W takim razie użyłem gotowego skryptu:

[PHP] pobierz, plaintext 
<?php 
$plik_tmp = $_FILES['plik']['tmp_name']; 
$plik_nazwa = $_FILES['plik']['name']; 
$plik_rozmiar = $_FILES['plik']['size']; 
 
if(is_uploaded_file($plik_tmp)) { 
     move_uploaded_file($plik_tmp, "upload/$plik_nazwa"); 
    echo "Plik: <strong>$plik_nazwa</strong>  
    został przesłany na serwer!<br><br>Link do pliku: <a href="http://www.serwer/upload/$plik_nazwa&quot;;" target="_blank">http://www.serwer/upload/$plik_nazwa";</a> 
} 
?>
[PHP] pobierz, plaintext 

I jak ten kod zmienić aby przechodziły tylko pliki jpg, JPG, png, bmp?
Tutaj dodam że to jest kod pliku upload.php a formularz idzie z pliku index.php

PS: Proszę o szybką odpowiedź bo cały czas ktoś mi przesyła plik .php na serwer a ja usilnie siedzę na FTP i go kasuję

[xxdrago]

Aż tak ciężko wpisać w Google hasło ;upload zabezpieczenie ?

- http://mijagi.eu/2011/09/zabezpieczenie-skryptu-uploadu/
- http://www.beldzio.com/bezpieczny-upload-plikow

Poza tym nie ten dział.

[Substr]

I Ty piszesz o bezpieczeństwie i innych uczysz php.

[!*!]

W takim razie użyłem gotowego skryptu:

[PHP] pobierz, plaintext 
<?php 
$plik_tmp = $_FILES['plik']['tmp_name']; 
$plik_nazwa = $_FILES['plik']['name']; 
$plik_rozmiar = $_FILES['plik']['size']; 
 
if(is_uploaded_file($plik_tmp)) { 
     move_uploaded_file($plik_tmp, "upload/$plik_nazwa"); 
    echo "Plik: <strong>$plik_nazwa</strong>  
    został przesłany na serwer!<br><br>Link do pliku: http://www.serwer/upload/$plik_nazwa"; 
} 
?>
[PHP] pobierz, plaintext 

I jak ten kod zmienić aby przechodziły tylko pliki jpg, JPG, png, bmp?
Tutaj dodam że to jest kod pliku upload.php a formularz idzie z pliku index.php

PS: Proszę o szybką odpowiedź bo cały czas ktoś mi przesyła plik .php na serwer a ja usilnie siedzę na FTP i go kasuję

Powinieneś to wiedzieć skoro uczysz PHP innych. To są podstawy, podstaw. Myślę że temat można zamknąć, lub przenieść jako "humor".

[materkamil]

Jeszcze jedna prośba. Dodałem wszystkie zabezpieczenia (filtrowania, itp) na tą stronkę:
http://astrouniverse.netii.net/

I czy mógł by ktoś sprawdzić czy jest ona bezpieczna. Bo po ostatnich wydarzeniach już sobie nie ufam.

[redeemer]

Ma ktoś screena z deface'u?

[Niktoś]

No i faktycznie,po co ktoś zjechał mu stronę?

Ten post edytował Niktoś 26.04.2012, 17:19:35

[!*!]

Jeszcze jedna prośba. Dodałem wszystkie zabezpieczenia (filtrowania, itp) na tą stronkę:
http://astrouniverse.netii.net/

I czy mógł by ktoś sprawdzić czy jest ona bezpieczna. Bo po ostatnich wydarzeniach już sobie nie ufam.

Chyba jednak nie wszystkie skoro ktoś Ci pokasował index.

[redeemer]

@materkamil: wrzuć gdzieś kod na pastebin, podpowiemy gdzie masz błąd

[Fifi209]

Co do lekcji 4

Nie otwieramy pliku tylko tworzymy uchwyt/wskaźnik, który później zamykamy.

Poza tym echo nie jest funkcją tak samo jak np. if,switch a konstrukcją języka. I broń boże przy wyświetlaniu zmiennych nie umieszczaj ich w cudzysłowie.

[materkamil]

Ja was podziwiam. Wymęczyłem się 2 godziny a tu nagle zaraz - ba. Otwieram a tu bomba
Ale to dobrze.

[prowseed]

Post #1 w połączeniu z postem #40 wygląda przekomicznie : )

@materkamil
lepszy jest gram dobrej nauki niż kilo byle czego
Nikt Ci nie zabrania się uczyć, ale jak już Ty masz uczyć innych... Wobraź sobie nauczyciela na prawo jazdy, który sam takiego dokumentu nie posiada, więcej- nie wie nawet do końca jak działa skrzynia biegów.

Ciągle coś usprawniasz, ciągle coś poprawiasz, a wystarczy minuta, by namieszać. Widocznie po prostu nie rozumiesz jak to działa.

[Niktoś]

Wymęczyłem się 2 godziny

-dwie godziny to nie męczarnia ,to sport w informatyce-niektórzy siedzą tygodniami ,żeby porządnie zabezpieczyć stronę/ny.Musisz nad tym posiedzieć dłużej.Przed upublicznieniem ,zrób sobie kopie bezpieczeństwa tego co zrobiłeś, aby te BUM mniej bolało.

Ten post edytował Niktoś 26.04.2012, 18:10:17

[materkamil]

No więc tak:

[PHP] pobierz, plaintext 
<?
$plik_tmp = $_FILES['plik']['tmp_name']; // Tymczasowa nazwa uploadowanego pliku
$plik_nazwa = $_FILES['plik']['name']; // Orginalna nazwa pliku uploadowanego przez uzytkownika
$plik_rozmiar = $_FILES['plik']['size']; // Rozmiar pliku w Byte'ach
$rozmiar = $plik_rozmiar / 1000; // A tu zrobimy z nich kB
$is_obrazek = explode('.', $plik_nazwa); // dzielimy nazwe uploadowanego pliku na tablice
$is_obrazek[1] = strtolower($is_obrazek[1]); // zmniejszamy nazwe rozszerzenia
 
  if (($is_obrazek[1] == 'jpg')||($is_obrazek[1] == 'jpeg')||($is_obrazek[1] == 'gif')){ // sprawdzamy poprawnosc pliku
 
if(is_uploaded_file($plik_tmp)) { // Jesli plik zostal poprawnie zuploadowany
  move_uploaded_file($plik_tmp, "gallery/$plik_nazwa"); // Przenosimy
  echo "Plik: $plik_nazwa  
  został przesłany na serwer!. <br><br>Adres do pliku: <br>http://www.astrouniverse.netii.net/gallery/$plik_nazwa "; // Pokaz dane o pliku
}
} else {
  if ($plik_nazwa == NULL) { // Jesli plik jest pusty
  return 0;
  } else { // Jesli format jest zly
  echo 'Niestety ale nie można przesłać tego pliku!';
  }
}
?>
[PHP] pobierz, plaintext 

To jest kod tego uploadu. Zabezpieczone jest tak, że przejdą tylko jpg i gif. W moim katalogu znalazłem przesłane pliki: grfa.jpg.php które o dziwo przeszły przez ten skrypt. No więc zdobyto zarządzanie plikami i przez to zmieniono plik index.php. Tylko jakim cudem ten skrypt przepuścił plik ewidentnie php?

Edit: wszystkie kopie są, podejrzewałem że tak się skończy więc bum nie boli tylko cieszy

Ten post edytował materkamil 26.04.2012, 18:11:59

[mccd]

[PHP] pobierz, plaintext 
<?
[...]
$is_obrazek[1] = strtolower($is_obrazek[count($is_obrazek)-1]); // zmniejszamy nazwe rozszerzenia
[...]
?>
[PHP] pobierz, plaintext 

Bierzesz nie 2., ale ostatni element tablicy.

Ten post edytował mccd 26.04.2012, 18:25:35

[Niktoś]

To nie jest rozwiązanie ,a jak plik będzie normalnie nazwany?

[PHP] pobierz, plaintext 
<?
$plik_tmp = $_FILES['plik']['tmp_name']; // Tymczasowa nazwa uploadowanego pliku
$plik_nazwa = $_FILES['plik']['name']; // Orginalna nazwa pliku uploadowanego przez uzytkownika
$plik_rozmiar = $_FILES['plik']['size']; // Rozmiar pliku w Byte'ach
$rozmiar = $plik_rozmiar / 1000; // A tu zrobimy z nich kB
$is_obrazek = explode('.', $plik_nazwa); // dzielimy nazwe uploadowanego pliku na tablice
$rozszerzenie="";
foreach($is_obrazek as $extension)
{
$rozszerzenie= strtolower($extension);
}
  if (($rozszerzenie== 'jpg')||($rozszerzenie == 'jpeg')||($rozszerzenie == 'gif')){ // sprawdzamy poprawnosc pliku
 
if(is_uploaded_file($plik_tmp)) { // Jesli plik zostal poprawnie zuploadowany
  move_uploaded_file($plik_tmp, "gallery/$plik_nazwa"); // Przenosimy
  echo "Plik: $plik_nazwa  
  zosta� przes�any na serwer!. <br><br>Adres do pliku: <br>http://www.astrouniverse.netii.net/gallery/$plik_nazwa "; // Pokaz dane o pliku
}
} else {
  if ($plik_nazwa == NULL) { // Jesli plik jest pusty
  return 0;
  } else { // Jesli format jest zly
  echo 'Niestety ale nie mo�na przes�a� tego pliku!';
  }
}
?>
[PHP] pobierz, plaintext 

@DOWN Prowseeda przykład robi to co mój ,tylko znaczenie wydajniejszy.

Ten post edytował Niktoś 26.04.2012, 18:36:50

[prowseed]

[PHP] pobierz, plaintext 
$is_obrazek = strtolower(end(explode('.', $plik_nazwa)));
[PHP] pobierz, plaintext 

oglądał ktoś te filmiki?
Polecam pierwszy
Wiesz @materkamil - wydajem i się, że jeszcze troche musisz nad tym php posiedzieć. Może nagrywaj to jako dziennik progress'u?

//EDIT
@down
No nie? Z głosu taki sympatyczny, aż szkoda jeździć...

//EDIT2
http://www.scanit.be/uploads/php-file-upload.pdf
https://www.owasp.org/index.php/Unrestricted_File_Upload
http://www.acunetix.com/websitesecurity/up...orms-threat.htm
http://www.gnucitizen.org/blog/cross-site-...upload-attacks/

na dobry poczatek : )

Ten post edytował prowseed 26.04.2012, 18:56:15

[xxdrago]

http://php.webtutor.pl/pl/2011/04/11/code-...w-obrazku-jpeg/ - poczytaj o tym jeszcze (tak dla bezpieczeństwa)...

Biedny chłopak ;/ faktycznie bardzo ciekawy film.

[mccd]

To nie jest rozwiązanie ,a jak plik będzie normalnie nazwany?

@DOWN Prowseeda przykład robi to co mój ,tylko znaczenie wydajniejszy.

[PHP] pobierz, plaintext 
$is_obrazek = explode('.', $plik_nazwa);
$is_obrazek = strtolower($is_obrazek[count($is_obrazek)-1]);
[PHP] pobierz, plaintext 

[PHP] pobierz, plaintext 
$is_obrazek = strtolower(end(explode('.', $plik_nazwa)));
[PHP] pobierz, plaintext 

To te 2 sposoby nie są równoważne?

[materkamil]

Ale jazda. Zabezpieczyłem przesyłanie danych uploadu a tam dalej strona zdeformowana:
http://astrouniverse.netii.net/

[!*!]

1. rozszerzenia pliku sprawdza się dzięki pathinfo a nie explode
2. sprawdzaj nazwę pliku, jakie zawiera znaki

to na początek wystarczy. poza tym nie wiem po co na głównej stronie dajesz możliwość wgrywania plików.

[materkamil]

Na głównej bo to ma być hosting. Ok zabezpiecze przesyłanie, aby nie było znaków ale jakim cudem na stronie głównej jest informacja? takie coś można tylko dodać w PA

[!*!]

Bo nie zabezpieczyłeś PA.

[Niktoś]

To te 2 sposoby nie są równoważne?

Faktycznie-błąd w wyliczeniach.

Ten post edytował Niktoś 26.04.2012, 19:51:06

[materkamil]

Na FTP pojawiają mi się pliki - coś takiego: plik'/'<script>.jpg
Jednak czy nazwa pliku coś daje? Można racja włożyć w obrazek kod PHP, ale nazwa? O czym to świadczy?

[!*!]

Ważna informacja: Teraz już skrypt jest napisany i zabezpieczony inaczej, więc nie dostaniesz się do niego w życiu
Ważna informacja: NIGDY NIE MOW NIGDY
Ważna informacja: PHP.pl
Ważna informacja: by !*!
Ważna informacja: Dobra widzę że dodajesz pliki z cudzysłowiami. Dlatego też zaraz wprowadzę ograniczenie nazwy jedynie do polskich znaków

psotniki jedne

Na FTP pojawiają mi się pliki - coś takiego: plik'/'<script>.jpg
Jednak czy nazwa pliku coś daje? Można racja włożyć w obrazek kod PHP, ale nazwa? O czym to świadczy?

Zła nazwa pliku to zła nazwa pliku. Widziałeś kiedyś u siebie na dysku plik z krzakami? Jak, myślisz dlaczego takich się nie tworzy.

Ten post edytował !*! 27.04.2012, 08:09:00

[materkamil]

Tak, widziałem. Nie można używać >, < ale można używać ' i właśnie te. Teraz wymyśliłem nową metodę zabezpieczeń. I to skomplikowaną. Opisze ci ją na PW

[!*!]

Pisz w tym temacie, więcej osób się wypowie.
Poza tym skupiłeś się wyłącznie na wygrywaniu plików, wydaje mi się że niepotrzebnie tzn. nie zapominaj o panelu bo to w nim może być problem i zaraz ktoś Ci coś tam może napisać.

Ten post edytował !*! 27.04.2012, 08:44:21

[materkamil]

Aha i jeszcze jedno pytanie:
Mam problem z kasowaniem plików FTP tych, co przesłane zostały. To screen:
http://s6.ifotos.pl/img/Beztytuup_reehnxh.png

Co to może być. Je nie można skasować

Edit: PA jest 100% bezpieczny. Przynajmniej dziś, gdy to zabezpieczyłem go całkiem inną metodą która wg. mnie bez znania hasła PA lub dostępu do FTP jest nie do przejścia. A wcześniej został mi przesłany "hauru.php" czyli klient ftp na stronę

Ten post edytował materkamil 27.04.2012, 08:46:53

[Niktoś]

Co to może być. Je nie można skasować

Sprawdź uprawnienia tych ,plików czy nie mają czasami flagi "tylko do odczytu".
Może z następnym problemem załóż nowy wątek w odpowiednim dziale.

[materkamil]

I tu drugi problem. Nazwy plików są tak dziwne, że nie da się ustawić uprawnień. Przy każdej próbie pisze:

553 Prohibited file name: pap<script>alert(\'zxc\')a.php.jpg

I do tego znów jest info na stronie głównej.

PS: Zaraz dam skrypt strony

Skrypt logowania wygląda tak:

Kod

<?

if($_POST["haslo"] == "tego nie podam") {
    
    include("tutajjestadrespaneluadmina");
    setcookie("tego nie podam","tego tez nie", time()+3600);
}
else
{
}
?>

<html>
<form method=post>
<input type=text name=haslo>
<input type=submit>
</form>
</html>

Jak mamy już cookiesa idziemy do PA

skrypt PA

Kod

<?
if(!isset($_COOKIE["klucz"])) {
echo("<script src=index.js></script>");
}
?>

Czyli jak ktoś nie wpisze hasła, nie ma ciasteczka, a bez ciasteczka go wyrzuca. I potem jest obsługa plików - dodawanie newsów:

Kod

<form method="post" action="tamgdziesiedoda"><input name="dodaj" type="text"><input type="submit"></form>

I "tamgdziesiedoda":

Kod

<?
$trescc = $_POST["dodaj"];
$tresccx = strip_tags($trescc);
$tresc = "<br><center><b><font size=6 color=red>Ważna informacja: $tresccx</font></b>";

$plik = "tujestenplikcododaje.txt";

$open = fopen($plik,"a");
fputs($open,$tresc);
fclose($open);
?>

Ten post edytował materkamil 27.04.2012, 12:01:14

[!*!]

Czyli na oko trzeba wysłać cookie z czymkolwiek i już mam dostęp... nie no weź to jakoś zabezpiecz bardziej bo wstyd że strona o bezpieczeństwie, jest od kilku dni "hackowana".

[materkamil]

Nie bo cookie wprowadziłem dopiero dziś. Wczoraj było to zrobione inaczej i znów przeszło. A do tego jak agresor mógł wiedzieć że strona opiera się na ciasteczkach, jeśli ciasteczko zostało wysyłane tylko po poprawnym warunku?

Edit: Niektóre dane zamazałem "tego nie podam" bo wg. mnie nie są potrzebne a mogą ułatwić "atak"

Ten post edytował materkamil 27.04.2012, 12:22:04

[!*!]

Nie bo cookie wprowadziłem dopiero dziś. Wczoraj było to zrobione inaczej i znów przeszło. A do tego jak agresor mógł wiedzieć że strona opiera się na ciasteczkach, jeśli ciasteczko zostało wysyłane tylko po poprawnym warunku?

Nie musi, wystarczą podstawowe dane o serwerze, zresztą... nie chce mi się tego tłumaczyć. Ściągnij jakiś gotowiec, będzie to bezpieczniejsze niż to co sam piszesz.

[materkamil]

Spróbuję jeszcze raz to zabezpieczyć inaczej i ciekawe i wtedy nie powinno się dać tego przejąć

[Niktoś]

Nie bo cookie wprowadziłem dopiero dziś. Wczoraj było to zrobione inaczej i znów przeszło. A do tego jak agresor mógł wiedzieć że strona opiera się na ciasteczkach, jeśli ciasteczko zostało wysyłane tylko po poprawnym warunku?

Jeśli już chcesz używać coockies to hashuj w nim dane.Agresor będzie wiedział ,że twoja strona generuje cookies,można to w łatwy sposób sprawdzić w przeglądarce.Cookies to zwykły plik tekstowy generowany po stronie klenta.Ktoś może w nim napisać złośliwy kod np. w js.Ty na tomiast sprawdzasz istnienie cookies ,ale co w nim jest już nie.
Może faktycznie poczytaj jakieś tutoriale.

[materkamil]

No ale wpisując java script:alert ... nie pokaże mu cookiesa, bo on zostanie wysłany dopiero po wpisaniu hasła:

if ($haslo = "poprawne") {
wyślij cokies
}
else
{
nic nie wyślij
}



Ten post edytował materkamil 27.04.2012, 12:34:42

[Niktoś]

Zapraszam,do lektury -google is ur master-poszukaj.Nie pomyślałeś że ktoś może sam sobie cookies stworzyć i nie musi ono koniecznie pochodzić z twojego skryptu?

[materkamil]

Ważna informacja: Wyleciał i już nie wróci. Do widzenia w piekle. Teraz już nie ma możliwości żebyś coś zrobił
Ważna informacja: To zabezpieczenie co zaprogramowałem jest nie do obejścia. Nigdy już nie napiszesz tu nic
Ważna informacja: spoko
Ważna informacja: Jakim cudem piszesz? Czyżby własny skrypt z obsługą tego pliku tekstowego?
Ważna informacja: mhm ukryty w jednym z plikow z grafika
Ważna informacja: i jeszcze jeden plik z grafika ktory pozwala na podglad twoich plikow php
Ważna informacja: W takim razie jakim cudem? Przecież wysłałeś mi pliki *jpg

Co wy na to?

[phpion]

@materkamil:
Zauważ, że piszesz w dziale "Oceny". Jeśli chcesz się doedukować to załóż nowy wątek w dziale "Przedszkole".

Uwaga do wszystkich:
Proszę zakończyć rozmowy na temat sposobów zabezpieczeń. Do takich celów są inne działy. Tutaj proszę skupić się tylko i wyłącznie na ocenie samej strony.

[greycoffey]

"PHP to człowiek."
"funkcja echo składa się zawsze z echo, nawiasów i średnika" - a ja myślałem, że echo to struktura językowa, nawiasy śa niepotrzebne oraz funkcja się z nich nie składa, a średnik oddziela procedury - widać głupi byłem
"korzystamy z tej oto przeglądarki" - woooow!
"zauważmy że pomiędzy dwoamia takimi znakamiii...."
"możemy tutaj cuda robić", "możemy zarządzać wszystkim!" (o przesyłaniu tagów html przez $_GET)
"atak XSS który wykorzystuje błąd w filtrowaniu zmiennej" - eeee... ale nie ma żadnego filtrowania, to jaki błąd ma wykorzystywać?

[Niktoś]

OMG,ktoś się dobrze bawi,ale czy Ten ktoś wie ,że manipulowanie w kodzie czyjegoś autorstwa jest niezgodne z prawem?
Czy ten ktoś wie ,że każdy request,żądanie zapisywany jest w logach Apache?Mam nadzieje ,że jechałeś przez proxy,bo jak autor posprawdza logi i Ciebie chytnie ,to będziesz mógł mieć nie lada problemy.
Poza tym dostał lekcje ,więc pytanie po co jedziesz mu po stronce?Daj se siana(tutaj zwrot do tego kogoś).

A do autora ,wykasuj wszystkie linki z tej strony i zmień ponownie adres i nazwę hosta i sam testuj-a jak będziesz uważał ,że faktycznie jest dobre to dopiero poproś o sprawdzenie pod względem bezpieczeństwa w dziale oceny innych forumowiczów.

Ten post edytował Niktoś 27.04.2012, 20:13:40

[!*!]

OMG,ktoś się dobrze bawi,ale czy Ten ktoś wie ,że manipulowanie w kodzie czyjegoś autorstwa jest niezgodne z prawem?
Czy ten ktoś wie ,że każdy request,żądanie zapisywany jest w logach Apache?Mam nadzieje ,że jechałeś przez proxy,bo jak autor posprawdza logi i Ciebie chytnie ,to będziesz mógł mieć nie lada problemy.
Poza tym dostał lekcje ,więc pytanie po co jedziesz mu po stronce?Daj se siana(tutaj zwrot do tego kogoś).

Przesadzasz, nikt nigdzie nie manipuluje, to jest wykorzystywanie danych/możliwości ogólnie dostępnych,autor witryny nie zrobił nic żeby ją zabezpieczyć.

Logi co wykażą? kilka adresów z tego forum + wysyłanie formularza? łał po prostu łał

[Niktoś]

Przesadzasz, nikt nigdzie nie manipuluje, to jest wykorzystywanie danych/możliwości ogólnie dostępnych,autor witryny nie zrobił nic żeby ją zabezpieczyć.

Wstrzyknięcie jakiegokolwiek kodu,do źródła strony jest manipulacją.A tam wstrzykniętą <h4> lub <span> z treścią.

Logi co wykażą? kilka adresów z tego forum + wysyłanie formularza? łał po prostu łał

Ip komputera,z którego nadszedł request-to nie wystarczy?-nie wiem jak dokładnie wyglądają logi Apache,w IIS jest wszystko fajnie rozpisane, (IP/domena/host) nawet jakie dane ktoś wysłał.No chyba ,że ktoś jechał przez proxy tak jak wspomnialem.

Ten post edytował Niktoś 27.04.2012, 20:46:27

[!*!]

Jakie wstrzyknięto? Jak to jest opcja panelu do którego ktoś miał hasło. Logi serwera głównie są od tego żeby pokazać dane z ip, hostem itp. tylko nie widzę tu zastosowania. to tak jakbyś miał pretensje że widzisz tło strony i wiesz jaki to plik bo zajrzałeś w źródło.

Ten post edytował !*! 27.04.2012, 20:49:39

[Fifi209]

Zauważ, że poza dodaniem tekstu strona nie ucierpiała, a sam autor tematu powinien być wdzięczny za możliwość nauki
Autor wydaje się być dociekliwy, testuje zabezpieczenia i daje testować. Zrobił backup, nakręcił filmik o błędzie w uploadzie.

Logi w Apache pokazują typ GET/POST, IP, jaki url został wywołany i parametry, oczywiście czas.

[Niktoś]

Zauważ, że poza dodaniem tekstu strona nie ucierpiała, a sam autor tematu powinien być wdzięczny za możliwość nauki smile.gif
Autor wydaje się być dociekliwy, testuje zabezpieczenia i daje testować. Zrobił backup, nakręcił filmik o błędzie w uploadzie.

Najlepiej ,niech się autor wypowie czy mu ta zabawa odpowiada.Poprzednią stronę tak mu ktoś zjechał,że musiał adres hosta zmienić,nie wiem może ktoś wciąż mu w tej chwili coś tam skrobie.

Ten post edytował Niktoś 27.04.2012, 20:57:38

[vieri_pl]

Autor troszkę sam sobie szkodzi pisząc takie rzeczy na starej stronie... widzę, że "NIEZŁAMALNA" nowa strona już wita nas pozdrowieniami z php.pl

[Niktoś]

Wiesz chcialbym, żeby mi tak zjechali strone.Kiedyś zamieszczałem tutaj serwis ,ale jakoś nikt nie mógł,a wręcz błagałem o to-gadałem zniszczcie mi strone i nic.On jest nowicjuszem ,uczy się,po co mu niszczyć kolejną stronę.Niech ten napis,będzie ostatnim krokiem ,a nie żeby kolejny raz ktoś mu zniszczył stronkę.

Ten post edytował Niktoś 27.04.2012, 21:43:44

[Fifi209]

Najlepiej ,niech się autor wypowie czy mu ta zabawa odpowiada

.Niech ten napis,będzie ostatnim krokiem ,a nie żeby kolejny raz ktoś mu zniszczył stronkę.

Zdecyduj się.

[Niktoś]

Jutro poprawie część kodu i rzucę podobnym hasełkiem i udostępnie.Ciekawe czy ktoś tak będzie mądry.

Zdecyduj się.

Odpowiadałem tylko na poprzedni post,już się nie udzielam.

Ten post edytował Niktoś 27.04.2012, 21:57:19

[!*!]

Próżność Was zjada.

[materkamil]

Oczywiście na tych "atakach" strasznie się uczę i jestem z tego zadowolony. Przynajmniej mam chęć do wymyślania kolejnych zabezpieczeń
Do tego kogoś: spoko! W logach nie zamierzam grzebać, namierzać itp. Możecie kombinować, to jest jedynie serwer testowy. Dlatego spoko, nie bój się. FBI nie przyjdzie do ciebie autorze "włamań" Jedynie kiedyś możesz nie dać rady przejść, moich zabezpieczeń i tyle. A ja nie odpuszczę. Tylko ciekawi mnie gdzie tkwi największy błąd. Już założyłem inny wątek

Edit: Napisy są dodawane i kasowane w PA więc spokojnie, nie niszczy żadnego indexu, a jedynie dodaje dane do pliku

Ten post edytował materkamil 28.04.2012, 14:36:43

[mls]

Jedynie kiedyś możesz nie dać rady przejść, moich zabezpieczeń i tyle. A ja nie odpuszczę.

No, to dłuuugie dzieciństwo Cię czeka... Skoro zakładasz, że kiedyś uda Ci się zrobić zabezpieczenia nie do złamania... Nie odpuszczaj, to oczywiste, abyś zajął się zabezpieczeniem serwisu a nie pisaniem na forum, dzięki czemu mniej tu będzie takich wątków

[Valik]

Równie dobrze mogłeś zrobić bloga i ściągnąć darmową templatkę z neta... Wyglądałoby 100x lepiej, a nie jak by robił to ktoś z gimnazjum...