Witaj Gościu! ( Zaloguj | Rejestruj )

Forum PHP.pl

> [MySQL][PHP]Włam do bazy
AniaR
post
Post #1





Grupa: Zarejestrowani
Postów: 92
Pomógł: 0
Dołączył: 6.05.2009
Skąd: warszawa

Ostrzeżenie: (0%)
-----

Witam,
Strwożyłam prostą stronę z panelem administracyjnym. Właśnie dostałam wiadomość od firmy testującej ze aplikacja jest dziurawa i właśnie siedzą w moim panelu admina i mogą dowolnie modyfikować dane (podali login i hasło które faktycznie zapisałam w bazie).

Dodam ze login i hasło przechowuje w bazie w postaci jawnej (nie md5), do tego logowanie robię metoda POST. Na stronie jest tez wyszukiwarka która jak wiadomo łączy się z baza. Danych przesyłanych z formularza nie przepuszczam przez funkcje addslashes() ale czy robiąc to zapobiegłabym przed wykradzeniem z bazy loginu i hasła?

Proszę napiszcie jakie są sposoby aby porządnie zabezpieczyć prosta stronę z panelem admina aby nikt nie mógł dostać się do mojego loginu i hasła?



Ten post edytował AniaR 15.11.2010, 10:37:45
Go to the top of the page
+Quote Post
 
 Start new topic
Odpowiedzi
luck
post
Post #2





Grupa: Zarejestrowani
Postów: 317
Pomógł: 58
Dołączył: 6.11.2005

Ostrzeżenie: (0%)
-----

Tak czytam tą dyskusję i zastanawiam się, czy jest sens w ogóle dalej się rozwodzić nad skracaniem loginu? Skracasz dane do długości takiej, jaką ma odpowiednie pole w bazie. Resztę musisz i tak zabezpieczyć odpowiednim escapeowaniem zapytań, przed ich wysłaniem do bazy. Kropka. Co z tego, że ograniczysz login, np. do iluś znaków, jak ktoś Ci może w pole z nazwą usera wpisać:
[SQL] pobierz, plaintext 
  1. ' OR 1=1;
[SQL] pobierz, plaintext
Jeśli nie zabezpieczysz kodu przed spreparowanym zapytaniem, to żadne skracanie nic Ci nie da.
Go to the top of the page
+Quote Post

Posty w temacie
- AniaR   [MySQL][PHP]Włam do bazy   15.11.2010, 10:28:29
- - celbarowicz   Umieść ten skrypt na obcym serwerze zmień hasło i ...   15.11.2010, 10:40:29
|- - fifi209   Cytat(celbarowicz @ 15.11.2010, 10:40...   15.11.2010, 18:54:44
- - tr@k   Cytat(AniaR @ 15.11.2010, 10:28:29 ) ...   15.11.2010, 10:51:01
- - Daiquiri   Jeżeli angielski nie stanowi przeszkody możesz zaw...   15.11.2010, 14:16:19
- - Mephistofeles   Przed SQL Injection najskuteczniej chroni się apli...   15.11.2010, 14:53:42
- - modern-web   Ja mam jeszcze inny sposób. Z tego co przeczytałem...   15.11.2010, 15:16:20
|- - phpion   Cytat(modern-web @ 15.11.2010, 15:16...   15.11.2010, 15:26:21
|- - phpion   Z łaski swojej zobacz czego tyczy nasza dyskusja: ...   16.11.2010, 09:37:03
- - modern-web   Nie koniecznie musi być to 6 znaków. Na przykład u...   15.11.2010, 15:34:53
|- - phpion   Cytat(modern-web @ 15.11.2010, 15:34...   15.11.2010, 19:44:13
|- - fifi209   Cytat(phpion @ 15.11.2010, 19:44:13 )...   15.11.2010, 20:20:59
- - markonix   Punkt 5ty kolegi rozwinąłbym o dodawanie do bazy w...   15.11.2010, 17:38:27
- - Daiquiri   Cytat(modern-web @ 15.11.2010, 15:34...   15.11.2010, 17:48:36
- - CuteOne   CytatI tu się mylisz. Czasami nazwa użytkownika = ...   15.11.2010, 18:05:51
- - Daiquiri   No i co w związku z tym, że istnieje wbudowana wal...   15.11.2010, 18:20:01
- - CuteOne   Rozchodzi się o to, że szukasz dziury gdzie jej ni...   15.11.2010, 18:27:54
- - luck   Cytat(fifi209 @ 15.11.2010, 20:20:59 ...   15.11.2010, 20:24:45
|- - fifi209   Cytat(luck @ 15.11.2010, 20:24:45 ) C...   15.11.2010, 22:00:31
- - Mephistofeles   Nie możesz ucinać loginu! W ten sposób użytkow...   15.11.2010, 21:12:20
- - luck   Tak czytam tą dyskusję i zastanawiam się, czy jest...   15.11.2010, 21:18:32
- - luck   Cytat(fifi209 @ 15.11.2010, 22:00:31 ...   15.11.2010, 22:57:02
|- - fifi209   Cytat(luck @ 15.11.2010, 22:57:02 ) R...   15.11.2010, 23:03:40
||- - phpion   Cytat(fifi209 @ 15.11.2010, 23:03:40 ...   16.11.2010, 08:07:16
||- - fifi209   Cytat(phpion @ 16.11.2010, 08:07:16 )...   16.11.2010, 09:24:27
|- - Wicepsik   luck, wyobraź sobie sytuacje, że wpisujesz numer k...   15.11.2010, 23:43:14
- - luck   Cytat(fifi209 @ 15.11.2010, 23:03:40 ...   16.11.2010, 08:03:29
- - CuteOne   Zajedwabista dyskusja... CytatKolega podał pomysł...   16.11.2010, 10:45:37
- - rzymek01   a po cóż to w ogóle ograniczać długość wprowadzony...   16.11.2010, 21:49:18
- - modern-web   Pomyśl logicznie... Ile jest ludzi w naszym świeci...   16.11.2010, 22:08:57
- - CuteOne   po to żeby ktoś nie wrzucił "jfiewofjiwoefjiw...   16.11.2010, 22:13:08
|- - rzymek01   Cytat(CuteOne @ 16.11.2010, 22:13:08 ...   18.11.2010, 21:58:37
- - modern-web   Pięknie ujęte CuteOne   16.11.2010, 22:42:27
- - modern-web   To chyba oczywiste, że po stronie klienta można zm...   18.11.2010, 23:20:46
|- - rzymek01   Cytat(modern-web @ 18.11.2010, 23:20...   19.11.2010, 16:01:43
- - CuteOne   up: co za problem dać dwa rodzaje zabezpieczeń? te...   19.11.2010, 20:38:25
- - modern-web   rzymek01... CytatSystem zabezpieczeń powinien być...   19.11.2010, 21:21:18
- - Ulysess   skoro już taki temat jest.. zapytam się o rade.. m...   19.11.2010, 22:05:39
- - fifi209   A to nie mogłeś sprawdzić co robi każda z funkcji?...   19.11.2010, 22:23:27
- - Ulysess   źle mnie zrozumialeś pytanie nie było czy funkcja...   20.11.2010, 00:35:17
- - fifi209   Do czego innego użyjesz mysql_real_escape_string a...   20.11.2010, 01:13:01
- - rzymek01   Cytat("CuteOne")te po stronie przeglądar...   20.11.2010, 13:49:21
- - modern-web   Cytat(rzymek01 @ 20.11.2010, 13:49:21...   20.11.2010, 16:02:54
- - rzymek01   Cytat(modern-web @ 20.11.2010, 16:02...   20.11.2010, 22:24:37

« Następny starszy · Przedszkole · Następny nowszy »
 

Reply to this topicStart new topic
1 Użytkowników czyta ten temat (1 Gości i 0 Anonimowych użytkowników)
0 Zarejestrowanych:

 

Tryb wyświetlania: Przełącz na: Standardowy · Przełącz na: Linearny+ · Drzewo

Śledź ten temat · Wyślij temat na e-mail · Wydrukuj ten temat · Subskrybuj to forum

RSS Aktualny czas: 8.10.2025 - 01:01
Powered By IP.Board © 2025  IPS, Inc.
All changes by PHP.pl Administrators
Hosting zapewnia NQ.pl hosting, trac, svn