[MySQL][PHP]Włam do bazy

[MySQL][PHP]Włam do bazy

AniaR Zobacz profil	15.11.2010, 10:28:29 Post #1
Grupa: Zarejestrowani Postów: 92 Pomógł: 0 Dołączył: 6.05.2009 Skąd: warszawa Ostrzeżenie: (0%)	Witam, Strwożyłam prostą stronę z panelem administracyjnym. Właśnie dostałam wiadomość od firmy testującej ze aplikacja jest dziurawa i właśnie siedzą w moim panelu admina i mogą dowolnie modyfikować dane (podali login i hasło które faktycznie zapisałam w bazie). Dodam ze login i hasło przechowuje w bazie w postaci jawnej (nie md5), do tego logowanie robię metoda POST. Na stronie jest tez wyszukiwarka która jak wiadomo łączy się z baza. Danych przesyłanych z formularza nie przepuszczam przez funkcje addslashes() ale czy robiąc to zapobiegłabym przed wykradzeniem z bazy loginu i hasła? Proszę napiszcie jakie są sposoby aby porządnie zabezpieczyć prosta stronę z panelem admina aby nikt nie mógł dostać się do mojego loginu i hasła? Ten post edytował AniaR 15.11.2010, 10:37:45

Odpowiedzi

luck Zobacz profil	15.11.2010, 22:57:02 Post #2
Grupa: Zarejestrowani Postów: 317 Pomógł: 58 Dołączył: 6.11.2005 Ostrzeżenie: (0%)	Cytat(fifi209 @ 15.11.2010, 22:00:31 ) A to ciekawe (IMG:style_emoticons/default/sad.gif) [PHP] pobierz, plaintext if (strlen($string) > 12) { echo 'Uciekaj !'; } [PHP] pobierz, plaintext Jak nie wiesz, to błagam nie mieszaj w temacie. Chyba sobie żartujesz... Napisałem wyraźnie, że POPRZEZ STRLEN NIE DA SIĘ OGRANICZYĆ długości łańcucha.Zastanów się proszę, czy w takim wypadku lepiej używać ifowania i tego typu cudów, zamiast prostego substr, które zaproponował @phpion. Równie dobrze możemy liczyć długość za pomocą count. Ale po co? Tylko dlatego, że się da? @Phpion miał w 100% rację. Do ograniczania długości stringa w PHP służy substr, nie strlen. Kropka.

Wicepsik Zobacz profil	15.11.2010, 23:43:14 Post #3
Grupa: Zarejestrowani Postów: 1 575 Pomógł: 299 Dołączył: 26.03.2009 Ostrzeżenie: (20%)	luck, wyobraź sobie sytuacje, że wpisujesz numer konta bankowego w formularzu, który składa się z 26 cyfr. Podczas wpisywania niechcący nacisnąłeś 2x dowolną liczbę. Wysłałeś przez formularz 27 cyfr i jak sugerujesz lepiej od razu uciąć ciąg do określonej liczby - 26, zamiast sprawdzić przez strlen długość ciągu i wyświetlić odpowiedni komunikat. Nie wolno ucinać ciągu i zapisywać do bazy bez powiadomienia i ewentualnego poprawienia tych danych przez użytkownika.

Posty w temacie

AniaR [MySQL][PHP]Włam do bazy 15.11.2010, 10:28:29

celbarowicz Umieść ten skrypt na obcym serwerze zmień hasło i ... 15.11.2010, 10:40:29

fifi209 Cytat(celbarowicz @ 15.11.2010, 10:40... 15.11.2010, 18:54:44

tr@k Cytat(AniaR @ 15.11.2010, 10:28:29 ) ... 15.11.2010, 10:51:01

Daiquiri Jeżeli angielski nie stanowi przeszkody możesz zaw... 15.11.2010, 14:16:19

Mephistofeles Przed SQL Injection najskuteczniej chroni się apli... 15.11.2010, 14:53:42

modern-web Ja mam jeszcze inny sposób. Z tego co przeczytałem... 15.11.2010, 15:16:20

phpion Cytat(modern-web @ 15.11.2010, 15:16... 15.11.2010, 15:26:21

phpion Z łaski swojej zobacz czego tyczy nasza dyskusja: ... 16.11.2010, 09:37:03

modern-web Nie koniecznie musi być to 6 znaków. Na przykład u... 15.11.2010, 15:34:53

phpion Cytat(modern-web @ 15.11.2010, 15:34... 15.11.2010, 19:44:13

fifi209 Cytat(phpion @ 15.11.2010, 19:44:13 )... 15.11.2010, 20:20:59

markonix Punkt 5ty kolegi rozwinąłbym o dodawanie do bazy w... 15.11.2010, 17:38:27

Daiquiri Cytat(modern-web @ 15.11.2010, 15:34... 15.11.2010, 17:48:36

CuteOne CytatI tu się mylisz. Czasami nazwa użytkownika = ... 15.11.2010, 18:05:51

Daiquiri No i co w związku z tym, że istnieje wbudowana wal... 15.11.2010, 18:20:01

CuteOne Rozchodzi się o to, że szukasz dziury gdzie jej ni... 15.11.2010, 18:27:54

luck Cytat(fifi209 @ 15.11.2010, 20:20:59 ... 15.11.2010, 20:24:45

fifi209 Cytat(luck @ 15.11.2010, 20:24:45 ) C... 15.11.2010, 22:00:31

Mephistofeles Nie możesz ucinać loginu! W ten sposób użytkow... 15.11.2010, 21:12:20

luck Tak czytam tą dyskusję i zastanawiam się, czy jest... 15.11.2010, 21:18:32

luck Cytat(fifi209 @ 15.11.2010, 22:00:31 ... 15.11.2010, 22:57:02

fifi209 Cytat(luck @ 15.11.2010, 22:57:02 ) R... 15.11.2010, 23:03:40

phpion Cytat(fifi209 @ 15.11.2010, 23:03:40 ... 16.11.2010, 08:07:16

fifi209 Cytat(phpion @ 16.11.2010, 08:07:16 )... 16.11.2010, 09:24:27

Wicepsik luck, wyobraź sobie sytuacje, że wpisujesz numer k... 15.11.2010, 23:43:14

luck Cytat(fifi209 @ 15.11.2010, 23:03:40 ... 16.11.2010, 08:03:29

CuteOne Zajedwabista dyskusja... CytatKolega podał pomysł... 16.11.2010, 10:45:37

rzymek01 a po cóż to w ogóle ograniczać długość wprowadzony... 16.11.2010, 21:49:18

modern-web Pomyśl logicznie... Ile jest ludzi w naszym świeci... 16.11.2010, 22:08:57

CuteOne po to żeby ktoś nie wrzucił "jfiewofjiwoefjiw... 16.11.2010, 22:13:08

rzymek01 Cytat(CuteOne @ 16.11.2010, 22:13:08 ... 18.11.2010, 21:58:37

modern-web Pięknie ujęte CuteOne 16.11.2010, 22:42:27

modern-web To chyba oczywiste, że po stronie klienta można zm... 18.11.2010, 23:20:46

rzymek01 Cytat(modern-web @ 18.11.2010, 23:20... 19.11.2010, 16:01:43

CuteOne up: co za problem dać dwa rodzaje zabezpieczeń? te... 19.11.2010, 20:38:25

modern-web rzymek01... CytatSystem zabezpieczeń powinien być... 19.11.2010, 21:21:18

Ulysess skoro już taki temat jest.. zapytam się o rade.. m... 19.11.2010, 22:05:39

fifi209 A to nie mogłeś sprawdzić co robi każda z funkcji?... 19.11.2010, 22:23:27

Ulysess źle mnie zrozumialeś pytanie nie było czy funkcja... 20.11.2010, 00:35:17

fifi209 Do czego innego użyjesz mysql_real_escape_string a... 20.11.2010, 01:13:01

rzymek01 Cytat("CuteOne")te po stronie przeglądar... 20.11.2010, 13:49:21

modern-web Cytat(rzymek01 @ 20.11.2010, 13:49:21... 20.11.2010, 16:02:54

rzymek01 Cytat(modern-web @ 20.11.2010, 16:02... 20.11.2010, 22:24:37

« Następny starszy · Przedszkole · Następny nowszy »

2 Użytkowników czyta ten temat (2 Gości i 0 Anonimowych użytkowników)

0 Zarejestrowanych:

Forum PHP.pl