Witaj Gościu! ( Zaloguj | Rejestruj )

Forum PHP.pl

> firany-sklep.pl - Własny CMS sklepu internetowego
joordan
post
Post #1





Grupa: Zarejestrowani
Postów: 51
Pomógł: 1
Dołączył: 15.06.2010

Ostrzeżenie: (10%)
X----

Skrypt pisany w dużym pośpiechu, dla rodzinnej działalności.

Czekam na oceny. (IMG:style_emoticons/default/tongue.gif)

firany-sklep.pl

Ten post edytował joordan 23.05.2013, 20:20:58
Go to the top of the page
+Quote Post
 
 Start new topic
Odpowiedzi
alex011251
post
Post #2





Grupa: Zarejestrowani
Postów: 40
Pomógł: 3
Dołączył: 21.05.2013

Ostrzeżenie: (10%)
X----

hahhaha. Jak nie mozliwe?(IMG:style_emoticons/default/questionmark.gif) Zawsze powtarzam ze programista a osoba od pentestow topokrewne tematy ale nie te same ;]
Polecam taka moja oto klase:

[PHP] pobierz, plaintext 
  1. <?php
  2. class security {
  3. 	function sql($value){
  4. 		if(get_magic_quotes_gpc()) {
  5. 			$value = mysql_real_escape_string(stripslashes($value));
  6. 		} else {
  7. 			$value = mysql_real_escape_string($value);
  8. 		}
  9. 		return $value;
  10. 	}
  11.  
  12. 	function html($value) {
  13. 		$value = htmlspecialchars($value);
  14. 		return $value;
  15. 	}
  16.  
  17. 	function addsql($value) {
  18. 		$value = addslashes($value);
  19. 		return $value;
  20. 	}
  21.  
  22. 	function strip($value) {
  23. 		$value = stripslashes($value);
  24. 		return $value;
  25. 	}
  26.  
  27. 	function all($value) {
  28. 		$value = addslashes(htmlspecialchars($value));
  29. 		return $value;
  30. 	}
  31. }
  32. ?>
[PHP] pobierz, plaintext


Chroni w 100% przed Sql.injection i Xss

tworzysz normalnie security.php

includujesz w pliku wywolujesz :
przykladowo jak u mnie:

[PHP] pobierz, plaintext 
  1. $dane_login = $security->all($_POST['email']);
[PHP] pobierz, plaintext

Ogolnie nie wiem jak to piszesz ale cms najlepiej obiektowo. Bo wtedy masz pelna kontrole a strukturalnie sie pogubisz.

jak chcesz rady odnosnie jakie moga byc ataki badz jak sie dobrze przed roznymi zabezpieczyc to na pw przeslij mi gg. Bo na Sql i XSS sie nie konczy (IMG:style_emoticons/default/smile.gif) )





///. H

Ten post edytował alex011251 24.05.2013, 12:07:27
Go to the top of the page
+Quote Post
joordan
post
Post #3





Grupa: Zarejestrowani
Postów: 51
Pomógł: 1
Dołączył: 15.06.2010

Ostrzeżenie: (10%)
X----

Cytat(alex011251 @ 24.05.2013, 12:37:59 ) *
hahhaha. Jak nie mozliwe?(IMG:style_emoticons/default/questionmark.gif) Zawsze powtarzam ze programista a osoba od pentestow topokrewne tematy ale nie te same ;]
Polecam taka moja oto klase:

[PHP] pobierz, plaintext 
  1. <?php
  2. class security {
  3. 	function sql($value){
  4. 		if(get_magic_quotes_gpc()) {
  5. 			$value = mysql_real_escape_string(stripslashes($value));
  6. 		} else {
  7. 			$value = mysql_real_escape_string($value);
  8. 		}
  9. 		return $value;
  10. 	}
  11.  
  12. 	function html($value) {
  13. 		$value = htmlspecialchars($value);
  14. 		return $value;
  15. 	}
  16.  
  17. 	function addsql($value) {
  18. 		$value = addslashes($value);
  19. 		return $value;
  20. 	}
  21.  
  22. 	function strip($value) {
  23. 		$value = stripslashes($value);
  24. 		return $value;
  25. 	}
  26.  
  27. 	function all($value) {
  28. 		$value = addslashes(htmlspecialchars($value));
  29. 		return $value;
  30. 	}
  31. }
  32. ?>
[PHP] pobierz, plaintext


Chroni w 100% przed Sql.injection i Xss

tworzysz normalnie security.php

includujesz w pliku wywolujesz :
przykladowo jak u mnie:

[PHP] pobierz, plaintext 
  1. $dane_login = $security->all($_POST['email']);
[PHP] pobierz, plaintext

Ogolnie nie wiem jak to piszesz ale cms najlepiej obiektowo. Bo wtedy masz pelna kontrole a strukturalnie sie pogubisz.

jak chcesz rady odnosnie jakie moga byc ataki badz jak sie dobrze przed roznymi zabezpieczyc to na pw przeslij mi gg. Bo na Sql i XSS sie nie konczy (IMG:style_emoticons/default/smile.gif) )





///. H



Tak szczerze to pisałem bez prawie żadnych include typu header footter. Jedynej klasy jakiej użyłem to phpmail.

Rozumiem że jednym z moich problemów jest użycie srip_tag zamiast addslashes...?

Czy addslashes to wystarczające zabezpieczenie przed xss...?

Aktualnie czytam o PDO
Go to the top of the page
+Quote Post

Posty w temacie
- joordan   firany-sklep.pl - Własny CMS sklepu internetowego   23.05.2013, 20:20:07
- - pyro   Jakby to były lata 90-te to byłoby ok.   23.05.2013, 20:36:54
- - Spawnm   Baner paskudy. Menu się sypie na ff/ubuntu Formula...   23.05.2013, 20:46:50
|- - joordan   Cytat(Spawnm @ 23.05.2013, 21:46:50 )...   23.05.2013, 21:00:25
- - alex011251   Striptag... Ogolnie masz wszedzie takie bledy ze ...   23.05.2013, 22:23:52
|- - joordan   Cytat(alex011251 @ 23.05.2013, 23:23...   23.05.2013, 23:03:35
- - usb2.0   no nawet 404 nie ma? ; {   23.05.2013, 23:27:32
|- - joordan   Cytat(usb2.0 @ 24.05.2013, 00:27:32 )...   24.05.2013, 01:27:40
- - alex011251   PS: Jak mi piszesz PW to nie zadawaj pytan wyrwany...   24.05.2013, 08:55:51
|- - g2g3   Cytat(alex011251 @ 24.05.2013, 09:55...   25.05.2013, 09:45:47
- - !*!   CytatWarning: mysql_fetch_array() expects paramete...   24.05.2013, 10:11:39
- - joordan   Człowiek uczy się na błędach Nie odczytałem wia...   24.05.2013, 10:33:11
- - klocu   Po wywołaniu takiego adresu: http://firany-sklep.p...   24.05.2013, 10:41:48
- - alex011251   Cytat(joordan @ 24.05.2013, 10:33:11 ...   24.05.2013, 10:49:48
- - Japszczur   Wywala error 404 więc chyba już skończona ocena.   24.05.2013, 10:57:13
- - !*!   Skasowaliście mu stronę? Łobuzy.   24.05.2013, 11:00:07
|- - joordan   Cytat(!*! @ 24.05.2013, 12:00...   24.05.2013, 11:10:48
- - joordan   Jak to możliwe że jest podatna na sql injection sk...   24.05.2013, 11:06:41
|- - !*!   Cytat(joordan @ 24.05.2013, 12:06:41 ...   24.05.2013, 11:09:32
- - alex011251   hahhaha. Jak nie mozliwe? Zawsze powtarzam ze prog...   24.05.2013, 11:37:59
|- - joordan   Cytat(alex011251 @ 24.05.2013, 12:37...   24.05.2013, 12:39:19
- - Damonsson   Rozumiem, że powyższy post jest ironią?   24.05.2013, 11:58:36
- - alex011251   Cytat(Damonsson @ 24.05.2013, 11:58:3...   24.05.2013, 12:07:57
- - !*!   @alex011251 - ale Ty to mu na serio polecasz, bo p...   24.05.2013, 12:10:13
- - alex011251   Fakt dawno ja pisalem. Ale zabezpiecza jak nalezy....   24.05.2013, 12:12:01
- - !*!   @alex011251 - wszystko. Przejdź na PDO z bindowani...   24.05.2013, 12:14:52
- - alex011251   Dlatego napisalem ze to moja stara klasa. Zabezpie...   24.05.2013, 12:18:34
|- - !*!   Cytat(alex011251 @ 24.05.2013, 13:18...   24.05.2013, 12:21:56
- - alex011251   Ja tam nigdy nie bylem przekonany do PDO i z tego ...   24.05.2013, 12:34:05
- - alex011251   We wszystkich polach GET_ jak i POST_ powinienes s...   24.05.2013, 12:44:58
- - Damonsson   Choćby głupie z przykładu: [PHP] pobierz, plainte...   24.05.2013, 12:46:14
- - joordan   Cytatfunction html($value) { $value = ...   24.05.2013, 12:46:27
- - alex011251   Cytat(Damonsson @ 24.05.2013, 12:46:1...   24.05.2013, 12:51:07
- - Damonsson   Nie zabezpiecza przed tym. Po prostu wykona się ty...   24.05.2013, 12:55:50
- - joordan   Moje tematy robią furorę na tym forum   24.05.2013, 13:44:21
- - alex011251   Bo to takie czcze gadanie. Bo to jest lepsze a to ...   24.05.2013, 14:54:50
- - joordan   Tutaj nie powinien być addslashes zamiast stripsla...   24.05.2013, 15:41:08
- - !*!   @joordan jak już ktoś wcześniej wspomniał, nie bie...   24.05.2013, 15:44:06
- - joordan   Czyli: [PHP] pobierz, plaintext stripslashes...   24.05.2013, 15:48:22
- - !*!   CytatTak naprawdę nic nie dadzą przy zabezpieczeni...   24.05.2013, 15:52:36
- - alex011251   Cytat(!*! @ 24.05.2013, 16:44...   24.05.2013, 16:10:21
- - ziqzaq   Cytat"Ogolnie nie wiem jak to piszesz ale cms...   24.05.2013, 16:44:08
|- - joordan   Cytat(ziqzaq @ 24.05.2013, 17:44:08 )...   24.05.2013, 17:15:06
- - Spawnm   Cytatmysql_real_escape_string nie waliduje operato...   24.05.2013, 17:16:09
- - pyro   Cześć. Jeśli chodzi o samo SQL Injection najlepie...   24.05.2013, 17:43:39
- - joordan   [PHP] pobierz, plaintext function add_sql_where...   24.05.2013, 18:09:49
- - !*!   http://forum.php.pl/index.php?showtopic=23258 a że...   24.05.2013, 19:43:15
- - alex011251   Podsumowujac. Widocznie na wszystko znajdzie sie o...   24.05.2013, 20:44:05
- - joordan   Pouczyłem się z PDO i sam nie dowierzam jakie to j...   24.05.2013, 22:27:29
|- - !*!   Cytat(joordan @ 24.05.2013, 23:27:29 ...   25.05.2013, 09:33:35
- - devbazy   @joordan: świetny pomysł z tą nazwą tabeli "u...   25.05.2013, 00:49:45
- - joordan   No ba To napewno wina auto uzupełniania w edytorz...   25.05.2013, 02:25:09
- - alex011251   Włamał bym się do twojej ale po mostem nie ma W...   25.05.2013, 11:16:38
- - PrinceOfPersia   http://firany-sklep.pl/nasza_firma_sprzeda..._do_c...   25.05.2013, 17:30:38
|- - joordan   Cytat(PrinceOfPersia @ 25.05.2013, 18:30...   25.05.2013, 19:06:14
- - PrinceOfPersia   Cytatdobrze się indeksować no to właśnie google za...   25.05.2013, 20:08:18
- - joordan   Zgłosiłem do usunięcia w Google, czy może Moderato...   25.05.2013, 20:39:22
- - !*!   CytatCzy dobrze rozumuje...? GET zawsze jest strin...   26.05.2013, 11:33:44
- - joordan   [PHP] pobierz, plaintext $paginacja= (int...   26.05.2013, 12:12:19

« Następny starszy · Oceny · Następny nowszy »
 

Reply to this topicStart new topic
1 Użytkowników czyta ten temat (1 Gości i 0 Anonimowych użytkowników)
0 Zarejestrowanych:

 

Tryb wyświetlania: Przełącz na: Standardowy · Przełącz na: Linearny+ · Drzewo

Śledź ten temat · Wyślij temat na e-mail · Wydrukuj ten temat · Subskrybuj to forum

RSS Aktualny czas: 12.10.2025 - 14:30
Powered By IP.Board © 2025  IPS, Inc.
All changes by PHP.pl Administrators
Hosting zapewnia NQ.pl hosting, trac, svn