[MySQL][PHP]Włam do bazy

[MySQL][PHP]Włam do bazy

AniaR Zobacz profil	15.11.2010, 10:28:29 Post #1
Grupa: Zarejestrowani Postów: 92 Pomógł: 0 Dołączył: 6.05.2009 Skąd: warszawa Ostrzeżenie: (0%)	Witam, Strwożyłam prostą stronę z panelem administracyjnym. Właśnie dostałam wiadomość od firmy testującej ze aplikacja jest dziurawa i właśnie siedzą w moim panelu admina i mogą dowolnie modyfikować dane (podali login i hasło które faktycznie zapisałam w bazie). Dodam ze login i hasło przechowuje w bazie w postaci jawnej (nie md5), do tego logowanie robię metoda POST. Na stronie jest tez wyszukiwarka która jak wiadomo łączy się z baza. Danych przesyłanych z formularza nie przepuszczam przez funkcje addslashes() ale czy robiąc to zapobiegłabym przed wykradzeniem z bazy loginu i hasła? Proszę napiszcie jakie są sposoby aby porządnie zabezpieczyć prosta stronę z panelem admina aby nikt nie mógł dostać się do mojego loginu i hasła? Ten post edytował AniaR 15.11.2010, 10:37:45

Odpowiedzi

luck Zobacz profil	16.11.2010, 08:03:29 Post #2
Grupa: Zarejestrowani Postów: 317 Pomógł: 58 Dołączył: 6.11.2005 Ostrzeżenie: (0%)	Cytat(fifi209 @ 15.11.2010, 23:03:40 ) Mądralo, przeczytaj opis obu funkcji o których mowa, bo w tym momencie sypiesz jakimiś teoriami wyssanymi z palca. Przeczytaj dokładnie do czego służy substr - według mojej wiedzy do "przycinania"/"wycinania" odpowiedniej długości ze stringa - ni jak ma się to do sprawdzania jego długości. W momencie użycia tej funkcji w sposób jaki zaproponowałeś, nie zawiadomisz użytkownika o zbyt długim tekście, lecz przytniesz go do swojej ustalonej długości, a przy rejestracji konsekwencje mogą być dramatyczne, bo ktoś dostanie zupełnie inny nick niż zakładał. Taa, jasne... Mów mi jeszcze (IMG:style_emoticons/default/smile.gif) Przeczytaj powoli, najlepiej kilka razy: nasza dyskusja rozpoczęła się od postu @phpion, który poruszał problem ograniczania długości poprzez maxlength, tego że jest to tylko w niewielkim stopniu skuteczne i należy do tego celu dodatkowo stosować substr po stronie serwera. Przypominam, że Ty stwierdziłeś, że do tego służy strlen, prawda? Sorry, ale jeśli nie odróżniasz słów "sprawdzać długość" od "ograniczać" to nie mamy o czym dyskutować. Cały czas piszę o ograniczeniu, tudzież przycinaniu łańcucha. Koniec z mojej strony w tym temacie.

Posty w temacie

AniaR [MySQL][PHP]Włam do bazy 15.11.2010, 10:28:29

celbarowicz Umieść ten skrypt na obcym serwerze zmień hasło i ... 15.11.2010, 10:40:29

fifi209 Cytat(celbarowicz @ 15.11.2010, 10:40... 15.11.2010, 18:54:44

tr@k Cytat(AniaR @ 15.11.2010, 10:28:29 ) ... 15.11.2010, 10:51:01

Daiquiri Jeżeli angielski nie stanowi przeszkody możesz zaw... 15.11.2010, 14:16:19

Mephistofeles Przed SQL Injection najskuteczniej chroni się apli... 15.11.2010, 14:53:42

modern-web Ja mam jeszcze inny sposób. Z tego co przeczytałem... 15.11.2010, 15:16:20

phpion Cytat(modern-web @ 15.11.2010, 15:16... 15.11.2010, 15:26:21

phpion Z łaski swojej zobacz czego tyczy nasza dyskusja: ... 16.11.2010, 09:37:03

modern-web Nie koniecznie musi być to 6 znaków. Na przykład u... 15.11.2010, 15:34:53

phpion Cytat(modern-web @ 15.11.2010, 15:34... 15.11.2010, 19:44:13

fifi209 Cytat(phpion @ 15.11.2010, 19:44:13 )... 15.11.2010, 20:20:59

markonix Punkt 5ty kolegi rozwinąłbym o dodawanie do bazy w... 15.11.2010, 17:38:27

Daiquiri Cytat(modern-web @ 15.11.2010, 15:34... 15.11.2010, 17:48:36

CuteOne CytatI tu się mylisz. Czasami nazwa użytkownika = ... 15.11.2010, 18:05:51

Daiquiri No i co w związku z tym, że istnieje wbudowana wal... 15.11.2010, 18:20:01

CuteOne Rozchodzi się o to, że szukasz dziury gdzie jej ni... 15.11.2010, 18:27:54

luck Cytat(fifi209 @ 15.11.2010, 20:20:59 ... 15.11.2010, 20:24:45

fifi209 Cytat(luck @ 15.11.2010, 20:24:45 ) C... 15.11.2010, 22:00:31

Mephistofeles Nie możesz ucinać loginu! W ten sposób użytkow... 15.11.2010, 21:12:20

luck Tak czytam tą dyskusję i zastanawiam się, czy jest... 15.11.2010, 21:18:32

luck Cytat(fifi209 @ 15.11.2010, 22:00:31 ... 15.11.2010, 22:57:02

fifi209 Cytat(luck @ 15.11.2010, 22:57:02 ) R... 15.11.2010, 23:03:40

phpion Cytat(fifi209 @ 15.11.2010, 23:03:40 ... 16.11.2010, 08:07:16

fifi209 Cytat(phpion @ 16.11.2010, 08:07:16 )... 16.11.2010, 09:24:27

Wicepsik luck, wyobraź sobie sytuacje, że wpisujesz numer k... 15.11.2010, 23:43:14

luck Cytat(fifi209 @ 15.11.2010, 23:03:40 ... 16.11.2010, 08:03:29

CuteOne Zajedwabista dyskusja... CytatKolega podał pomysł... 16.11.2010, 10:45:37

rzymek01 a po cóż to w ogóle ograniczać długość wprowadzony... 16.11.2010, 21:49:18

modern-web Pomyśl logicznie... Ile jest ludzi w naszym świeci... 16.11.2010, 22:08:57

CuteOne po to żeby ktoś nie wrzucił "jfiewofjiwoefjiw... 16.11.2010, 22:13:08

rzymek01 Cytat(CuteOne @ 16.11.2010, 22:13:08 ... 18.11.2010, 21:58:37

modern-web Pięknie ujęte CuteOne 16.11.2010, 22:42:27

modern-web To chyba oczywiste, że po stronie klienta można zm... 18.11.2010, 23:20:46

rzymek01 Cytat(modern-web @ 18.11.2010, 23:20... 19.11.2010, 16:01:43

CuteOne up: co za problem dać dwa rodzaje zabezpieczeń? te... 19.11.2010, 20:38:25

modern-web rzymek01... CytatSystem zabezpieczeń powinien być... 19.11.2010, 21:21:18

Ulysess skoro już taki temat jest.. zapytam się o rade.. m... 19.11.2010, 22:05:39

fifi209 A to nie mogłeś sprawdzić co robi każda z funkcji?... 19.11.2010, 22:23:27

Ulysess źle mnie zrozumialeś pytanie nie było czy funkcja... 20.11.2010, 00:35:17

fifi209 Do czego innego użyjesz mysql_real_escape_string a... 20.11.2010, 01:13:01

rzymek01 Cytat("CuteOne")te po stronie przeglądar... 20.11.2010, 13:49:21

modern-web Cytat(rzymek01 @ 20.11.2010, 13:49:21... 20.11.2010, 16:02:54

rzymek01 Cytat(modern-web @ 20.11.2010, 16:02... 20.11.2010, 22:24:37

« Następny starszy · Przedszkole · Następny nowszy »

2 Użytkowników czyta ten temat (2 Gości i 0 Anonimowych użytkowników)

0 Zarejestrowanych:

Forum PHP.pl