 zabezpieczenia |
| zabezpieczenia |
Post
#1
|
|
|
Grupa: Zarejestrowani Postów: 24 Pomógł: 0 Dołączył: 14.10.2003 Ostrzeżenie: (0%) 
 |
Ostatnio dużo czytałem o zabezpieczeniech danych przesyłanych drogą post i get
Nawet w prowadzonym przez mnie serwisie stosując stare techniki ktoś odczytał plik d.php gdzie przechowywane sa hasła i zaproponował mi zmainą poniższego kodu na następujący [php:1:38b804c758]<?php if ((!isset($plik)) || ($plik=="")) { include("aktualnosci.php"); } else { include($plik); } ?>[/php:1:38b804c758] na następujący [php:1:38b804c758]<?php $plik = $HTTP_GET_VARS['plik']; if ($plik||!file_exists($plik)) { include("aktualnosci.php"); } else { include($plik); } ?>[/php:1:38b804c758] Czy to jest poprawne i nie ma zadnego haka i jak bylo to mozliew ze sprawdzili moje hasła ___ [scanner] Zmoderowane. Prosze używac BBCode |
 |
 
|
 |
|
Post
#2
|
|
|
Grupa: Zarejestrowani Postów: 57 Pomógł: 0 Dołączył: 21.08.2003 Skąd: Będzin Ostrzeżenie: (0%)
|
Cytat [..]a jego wynik zostanie przeslany na server nr 1 czyli zamias zawartosci pliku mama.php bedzie odczytany wynik skryptu jaki zainkludujesz nie "czysty" kod skryptu tylko jego wynik[..]
Co za problem zrobić tak: [php:1:c349e6e90d]<?php echo '<?php // i tu jechane z kodem php, ktory chcesz wykonac na serwerze delikwenta '; ?>[/php:1:c349e6e90d] Poza tym nie wszystkie serwery przeciez oblsuguja/parsuja php... Jeszcze odnoścnie tego: [php:1:c349e6e90d]<?php if(!file_exists("./".$plik)) { include("404.php"); } else { include("./".$plik); } ?>[/php:1:c349e6e90d] ..co za problem pod zmienną plik podpiąć np: '../../../../etc/passwd' Inne wykorzystanie dziury.... Wystarczy, że ktoś ma konto 'grozny_user' na serwerze i podstawi np: '../../grozny_user/www/grozny_plik.php' Do autora wątku - polecam poczytać: http://www.zend.com/zend/art/art-oertli.php również w manualu jest cały rozdział poświęcony bezpieczeństwu... |
|
|
|
madalena zabezpieczenia 20.10.2003, 10:11:29 
Zepco IMHO ten drugi zapis jest bezpieczny.
Natomiast w ... 20.10.2003, 11:04:21 spenalzo <?php
if(!file_exists($plik))
{
include("404.p... 20.10.2003, 11:15:09 kwiateek Cytat<?php
if(!file_exists($plik))
{
include("... 20.10.2003, 20:55:41 spenalzo W takim przypadku:
<?php
$plik = '/etc/passwd';... 20.10.2003, 21:30:29 KaMeLeOn Panowie Miramar i PrZeMoL...
Uwagami na temat wypo... 21.10.2003, 00:00:21 Kinool hmm no wlasnie trapi mi pewna sprawa jak kto robi
... 21.10.2003, 09:42:35 madalena wyjasnijcie mi jeszcze jakim cudem koles odczytal ... 21.10.2003, 14:40:45 CyklOP CytatIMHO ten drugi zapis jest bezpieczny.
Natomia... 21.10.2003, 16:22:59 Kinool no chyba troche zakreciles Cyklop jesli np za mam... 21.10.2003, 19:49:11 CyklOP Teoretycznie tak, ale wlasnie on jakos umozliwia t... 21.10.2003, 20:11:12 jono ja sobie to rozwiązałem zapisując w tablicy na szt... 22.10.2003, 07:16:58 
bulek A moze skorzystac z funckji basename ktora wyciagn... 23.10.2003, 07:53:21  |
|
Aktualny czas: 27.09.2025 - 18:16 |
