 [MySQL][PHP]Włam do bazy |
| [MySQL][PHP]Włam do bazy |
Post
#1
|
|
|
Grupa: Zarejestrowani Postów: 92 Pomógł: 0 Dołączył: 6.05.2009 Skąd: warszawa Ostrzeżenie: (0%) 
 |
Witam,
Strwożyłam prostą stronę z panelem administracyjnym. Właśnie dostałam wiadomość od firmy testującej ze aplikacja jest dziurawa i właśnie siedzą w moim panelu admina i mogą dowolnie modyfikować dane (podali login i hasło które faktycznie zapisałam w bazie). Dodam ze login i hasło przechowuje w bazie w postaci jawnej (nie md5), do tego logowanie robię metoda POST. Na stronie jest tez wyszukiwarka która jak wiadomo łączy się z baza. Danych przesyłanych z formularza nie przepuszczam przez funkcje addslashes() ale czy robiąc to zapobiegłabym przed wykradzeniem z bazy loginu i hasła? Proszę napiszcie jakie są sposoby aby porządnie zabezpieczyć prosta stronę z panelem admina aby nikt nie mógł dostać się do mojego loginu i hasła? Ten post edytował AniaR 15.11.2010, 10:37:45 |
 |
 
|
 |
|
Post
#2
|
|
|
Grupa: Zarejestrowani Postów: 763 Pomógł: 117 Dołączył: 15.03.2010 Skąd: void Ostrzeżenie: (0%)
|
Nie koniecznie musi być to 6 znaków. Na przykład użytkownik ma nick 'forsa', a max długość ustawić można na 7... Podobnie dlaczego by nie wprowadzić na np. 20 znaków. Przecież nikt nie wybiera tak długiej nazwy użytkownika.
Chodzi bardziej o to byś nie mógł wklepać w pole kawałka zapytania SQL. Bo przepraszam, ale bez ograniczenia to można by zrobić spore zamieszanie... Każda metoda jest dobra, tak samo każdy ma swój punkt widzenia. Sądzę, że jest to pewnego typu zabezpieczenie (choć mierne ale zawsze), alternatywne rozwiązanie jego problemu. Ten post edytował modern-web 15.11.2010, 15:35:29 |
|
|
|
|
Post
#3
|
|
|
Grupa: Moderatorzy Postów: 6 072 Pomógł: 861 Dołączył: 10.12.2003 Skąd: Dąbrowa Górnicza |
Cytat(modern-web @ 15.11.2010, 15:34:53 )  Nie koniecznie musi być to 6 znaków. Na przykład użytkownik ma nick 'forsa', a max długość ustawić można na 7... Podobnie dlaczego by nie wprowadzić na np. 20 znaków. Przecież nikt nie wybiera tak długiej nazwy użytkownika. Chodzi bardziej o to byś nie mógł wklepać w pole kawałka zapytania SQL. Bo przepraszam, ale bez ograniczenia to można by zrobić spore zamieszanie... Zapewne ograniczysz długość loginu za pomocą atrybutu maxlength, czyż nie? No to mistrzu FireBug i w 5 sekund podmieniam tą wartość na dowolną inną. Jak już chcesz ograniczać to tylko poprzez substr() po stronie aplikacji. Pewnie teraz napiszesz "to miałem na myśli!" w co i tak nie uwierzę. PS: czepiam się, bo Twoje wypowiedzi mają charakter typu "ja się znam" - chciałbym Cię nieco sprowadzić na ziemię. Ten post edytował phpion 15.11.2010, 19:46:07 |
|
|
|
|
Post
#4
|
|
|
Grupa: Zarejestrowani Postów: 4 655 Pomógł: 556 Dołączył: 17.03.2009 Skąd: Katowice Ostrzeżenie: (0%)
|
|
|
|
|
AniaR [MySQL][PHP]Włam do bazy 15.11.2010, 10:28:29 
celbarowicz Umieść ten skrypt na obcym serwerze zmień hasło i ... 15.11.2010, 10:40:29 
fifi209 Cytat(celbarowicz @ 15.11.2010, 10:40... 15.11.2010, 18:54:44 tr@k Cytat(AniaR @ 15.11.2010, 10:28:29 ) ... 15.11.2010, 10:51:01 Daiquiri Jeżeli angielski nie stanowi przeszkody możesz zaw... 15.11.2010, 14:16:19 Mephistofeles Przed SQL Injection najskuteczniej chroni się apli... 15.11.2010, 14:53:42 modern-web Ja mam jeszcze inny sposób.
Z tego co przeczytałem... 15.11.2010, 15:16:20 phpion Cytat(modern-web @ 15.11.2010, 15:16... 15.11.2010, 15:26:21 phpion Z łaski swojej zobacz czego tyczy nasza dyskusja:
... 16.11.2010, 09:37:03 markonix Punkt 5ty kolegi rozwinąłbym o dodawanie do bazy w... 15.11.2010, 17:38:27 Daiquiri Cytat(modern-web @ 15.11.2010, 15:34... 15.11.2010, 17:48:36 CuteOne CytatI tu się mylisz. Czasami nazwa użytkownika = ... 15.11.2010, 18:05:51 Daiquiri No i co w związku z tym, że istnieje wbudowana wal... 15.11.2010, 18:20:01 CuteOne Rozchodzi się o to, że szukasz dziury gdzie jej ni... 15.11.2010, 18:27:54 luck Cytat(fifi209 @ 15.11.2010, 20:20:59 ... 15.11.2010, 20:24:45 fifi209 Cytat(luck @ 15.11.2010, 20:24:45 ) C... 15.11.2010, 22:00:31 Mephistofeles Nie możesz ucinać loginu! W ten sposób użytkow... 15.11.2010, 21:12:20 luck Tak czytam tą dyskusję i zastanawiam się, czy jest... 15.11.2010, 21:18:32 luck Cytat(fifi209 @ 15.11.2010, 22:00:31 ... 15.11.2010, 22:57:02 fifi209 Cytat(luck @ 15.11.2010, 22:57:02 ) R... 15.11.2010, 23:03:40 phpion Cytat(fifi209 @ 15.11.2010, 23:03:40 ... 16.11.2010, 08:07:16 fifi209 Cytat(phpion @ 16.11.2010, 08:07:16 )... 16.11.2010, 09:24:27 Wicepsik luck, wyobraź sobie sytuacje, że wpisujesz numer k... 15.11.2010, 23:43:14 luck Cytat(fifi209 @ 15.11.2010, 23:03:40 ... 16.11.2010, 08:03:29 CuteOne Zajedwabista dyskusja...
CytatKolega podał pomysł... 16.11.2010, 10:45:37 rzymek01 a po cóż to w ogóle ograniczać długość wprowadzony... 16.11.2010, 21:49:18 modern-web Pomyśl logicznie...
Ile jest ludzi w naszym świeci... 16.11.2010, 22:08:57 CuteOne po to żeby ktoś nie wrzucił "jfiewofjiwoefjiw... 16.11.2010, 22:13:08 rzymek01 Cytat(CuteOne @ 16.11.2010, 22:13:08 ... 18.11.2010, 21:58:37 modern-web Pięknie ujęte CuteOne 16.11.2010, 22:42:27 modern-web To chyba oczywiste, że po stronie klienta można zm... 18.11.2010, 23:20:46 rzymek01 Cytat(modern-web @ 18.11.2010, 23:20... 19.11.2010, 16:01:43 CuteOne up: co za problem dać dwa rodzaje zabezpieczeń? te... 19.11.2010, 20:38:25 modern-web rzymek01...
CytatSystem zabezpieczeń powinien być... 19.11.2010, 21:21:18 Ulysess skoro już taki temat jest.. zapytam się o rade.. m... 19.11.2010, 22:05:39 fifi209 A to nie mogłeś sprawdzić co robi każda z funkcji?... 19.11.2010, 22:23:27 Ulysess źle mnie zrozumialeś pytanie nie było czy funkcja... 20.11.2010, 00:35:17 fifi209 Do czego innego użyjesz mysql_real_escape_string a... 20.11.2010, 01:13:01 rzymek01 Cytat("CuteOne")te po stronie przeglądar... 20.11.2010, 13:49:21 modern-web Cytat(rzymek01 @ 20.11.2010, 13:49:21... 20.11.2010, 16:02:54 rzymek01 Cytat(modern-web @ 20.11.2010, 16:02... 20.11.2010, 22:24:37  |
|
Aktualny czas: 27.09.2025 - 04:43 |
