![]() |
![]() |
![]()
Post
#1
|
|
Grupa: Zarejestrowani Postów: 10 Pomógł: 0 Dołączył: 25.02.2015 Ostrzeżenie: (0%) ![]() ![]() |
Witam. Od pewnego czasu nurtuje mnie pewna kwestia. Jak mogę zabezpieczyć swoją stronę? Szukałem wszędzie informacji na ten temat, niestety wszędzie gdzie napisane jest coś o bezpieczeństwie, przykłady dotyczą strony z panelami administracyjnymi, formularzami kontaktowymi itd. Otóż moja strona jest dosyć specyficzna - to zwykła strona informacyjna, która nie zawiera żadnych formularzy itp. Użytkownik praktycznie nigdzie nie podaje wartości żadnej zmiennej. Czytałem sporo poradników na temat bezpieczeństwa i wydaje mi się, że wszystko jest dobrze, jednak bardzo przyda mi się także opinia ekspertów w tej sprawie, gdyż zawsze mogło mi coś umknąć. Byłbym wdzięczny za sprawdzenie czy wszystko jest w porządku w tych linijkach kodu:
Pliki includuję w ten sposób:
W ten sposób wczytuję treść do "głównego" diva (na początku kiedy nie ma żadnych zmiennych w pasku adresu, wczytują się newsy):
W pliku naglowki.php są zmienne, które wyglądają w ten sposób:
Nagłówek jest wyświetlany w PLIKU HTML (czy to jest błąd, że plik jest w html i posiada kod php? I tak jest includowany do index.php, więc ma to jakieś znaczenie?) na samym początku w ten sposób: Tak wygląda odnośnik w menu*: Tak wygląda moje zapytanie do bazy MySQL wyciągające newsy:
Zapytanie wyciągające z bazy np. linki do najnowszych filmów z kanału YT:
Tak wygląda zawartość kolumny 'zawartosc' w tabeli z newsami w bazie MySQL (czy kod HTML nie jest zagrożeniem kiedy jest pobierany z bazy?):
To jest na końcu pliku index.php
* - odnośnik w menu - zastanawia mnie właśnie czy bezpiecznie jest kiedy w zmiennej znajdują się ukośniki: / (zmienna dział przyjmuje wartość z ukośnikiem: dzial=gry/gra1). Czy zauważyliście w tym kodzie jakieś luki, które mogłyby umożliwić komuś atak? Będę wdzięczny za przeanalizowanie tych fragmentów kodu. Mam obsesję na tym punkcie, tj. chcę mieć pewność, że strona jest bezpieczna. Pozdrawiam! |
|
|
![]() |
![]()
Post
#2
|
|
Grupa: Zarejestrowani Postów: 10 Pomógł: 0 Dołączył: 25.02.2015 Ostrzeżenie: (0%) ![]() ![]() |
Hmm no właśnie ten case nie do końca się spisuje. Nie wiem czy coś źle zrobiłem, ale nawet po zastosowaniu się do Twojej składni występuje ten problem z postaciami. Tj. postac1 będzie w dziale gry/gra1 i gry/gra2, ale nie będzie jej już w dziale gry/gra3. I kiedy będę na stronie 'dzial=gry/gra1&strona=postacie/postac1' lub 'dzial=gry/gra2&strona=postacie/postac1' i zmienię pasek adresu na 'dzial=gry/gra3&strona=postacie/postac1' (w tym dziale nie ma takiej strony), nie przypisuje mi wartości jakie ustawię w default. IFy mam już gotowe, w nocy sobie przygotowałem i z tym rozwiązaniem idealnie się to spisuje, jeśli oczywiście tak ma być, że jeśli dokonam takiej zmiany z tymi postaciami, przekieruje mnie na stronę z informacjami o grze. Poza tym w IFach chyba jest to nieco lepiej sprecyzowane, bo mogę dla każdego działu ustalić inną stronę 'domyślną', czyli taką do jakiej przekieruje kiedy zmieni się wartość zmiennej 'strona' na jakąś, która w IFie dla danego działu nie występuje. (IMG:style_emoticons/default/smile.gif)
Ten post edytował GrumpyDogue 26.02.2015, 12:32:35 |
|
|
![]() ![]() |
![]() |
Aktualny czas: 16.10.2025 - 01:07 |