 [MySQL][PHP]Włam do bazy |
| [MySQL][PHP]Włam do bazy |
Post
#1
|
|
|
Grupa: Zarejestrowani Postów: 92 Pomógł: 0 Dołączył: 6.05.2009 Skąd: warszawa Ostrzeżenie: (0%) 
 |
Witam,
Strwożyłam prostą stronę z panelem administracyjnym. Właśnie dostałam wiadomość od firmy testującej ze aplikacja jest dziurawa i właśnie siedzą w moim panelu admina i mogą dowolnie modyfikować dane (podali login i hasło które faktycznie zapisałam w bazie). Dodam ze login i hasło przechowuje w bazie w postaci jawnej (nie md5), do tego logowanie robię metoda POST. Na stronie jest tez wyszukiwarka która jak wiadomo łączy się z baza. Danych przesyłanych z formularza nie przepuszczam przez funkcje addslashes() ale czy robiąc to zapobiegłabym przed wykradzeniem z bazy loginu i hasła? Proszę napiszcie jakie są sposoby aby porządnie zabezpieczyć prosta stronę z panelem admina aby nikt nie mógł dostać się do mojego loginu i hasła? Ten post edytował AniaR 15.11.2010, 10:37:45 |
 |
 
|
 |
|
Post
#2
|
|
|
Grupa: Zarejestrowani Postów: 763 Pomógł: 117 Dołączył: 15.03.2010 Skąd: void Ostrzeżenie: (0%)
|
Ja mam jeszcze inny sposób.
Z tego co przeczytałem wnioskuję, że nie znasz się za dobrze na PHP dlatego podam Ci kilka innych metod, które w kilka sekund mogą zmniejszyć ryzyko sforsowania zabezpieczeń Twojego systemu. 1. nie używaj addslashes (bo nie do tego służy) tylko mysql_real_escape_string 2. ogranicz maksymalną ilość znaków w polu nazwy użytkownika i hasła (jeśli username nie będzie dłuższy niż 6 znaków to ustaw max na tyle ile trzeba) 3. szyfruj hasła w SHA1 lub MD5 (sugeruję to pierwsze) 4. po prostu ukryj gdzieś panel logowania dla administratora (i zablokuj dla google bot - none) 5. monitoruj logowania - będziesz wiedział, czy coś jest nie tak (IMG:style_emoticons/default/smile.gif) [użyj do tego bazy danych, zapisu IP, hosta, daty, godziny, przeglądarki, id sesji i... to chyba wystarczy] - aczkolwiek to już jest tylko dla Twojej informacji - nie zabezpieczy... Pozdrawiam. Ten post edytował modern-web 15.11.2010, 15:18:03 |
|
|
|
|
Post
#3
|
|
|
Grupa: Moderatorzy Postów: 6 072 Pomógł: 861 Dołączył: 10.12.2003 Skąd: Dąbrowa Górnicza |
Z łaski swojej zobacz czego tyczy nasza dyskusja:
Cytat(modern-web @ 15.11.2010, 15:16:20 )  2. ogranicz maksymalną ilość znaków w polu nazwy użytkownika i hasła (jeśli username nie będzie dłuższy niż 6 znaków to ustaw max na tyle ile trzeba) Kolega podał pomysł ograniczenia maksymalnej ilości znaków w polu nazwy użytkownika dodając "ustaw max na tyle ile trzeba". W tym przypadku ustaw = przytnij. To, że normalna walidacja powinna opierać się na sprawdzaniu długości wprowadzanych danych, a nie na ich skracaniu to sprawa oczywista. Jednak dyskusja toczy się w innym kontekście. |
|
|
|
AniaR [MySQL][PHP]Włam do bazy 15.11.2010, 10:28:29 
celbarowicz Umieść ten skrypt na obcym serwerze zmień hasło i ... 15.11.2010, 10:40:29 
fifi209 Cytat(celbarowicz @ 15.11.2010, 10:40... 15.11.2010, 18:54:44 tr@k Cytat(AniaR @ 15.11.2010, 10:28:29 ) ... 15.11.2010, 10:51:01 Daiquiri Jeżeli angielski nie stanowi przeszkody możesz zaw... 15.11.2010, 14:16:19 Mephistofeles Przed SQL Injection najskuteczniej chroni się apli... 15.11.2010, 14:53:42 phpion Cytat(modern-web @ 15.11.2010, 15:16... 15.11.2010, 15:26:21 modern-web Nie koniecznie musi być to 6 znaków. Na przykład u... 15.11.2010, 15:34:53 phpion Cytat(modern-web @ 15.11.2010, 15:34... 15.11.2010, 19:44:13 fifi209 Cytat(phpion @ 15.11.2010, 19:44:13 )... 15.11.2010, 20:20:59 markonix Punkt 5ty kolegi rozwinąłbym o dodawanie do bazy w... 15.11.2010, 17:38:27 Daiquiri Cytat(modern-web @ 15.11.2010, 15:34... 15.11.2010, 17:48:36 CuteOne CytatI tu się mylisz. Czasami nazwa użytkownika = ... 15.11.2010, 18:05:51 Daiquiri No i co w związku z tym, że istnieje wbudowana wal... 15.11.2010, 18:20:01 CuteOne Rozchodzi się o to, że szukasz dziury gdzie jej ni... 15.11.2010, 18:27:54 luck Cytat(fifi209 @ 15.11.2010, 20:20:59 ... 15.11.2010, 20:24:45 fifi209 Cytat(luck @ 15.11.2010, 20:24:45 ) C... 15.11.2010, 22:00:31 Mephistofeles Nie możesz ucinać loginu! W ten sposób użytkow... 15.11.2010, 21:12:20 luck Tak czytam tą dyskusję i zastanawiam się, czy jest... 15.11.2010, 21:18:32 luck Cytat(fifi209 @ 15.11.2010, 22:00:31 ... 15.11.2010, 22:57:02 fifi209 Cytat(luck @ 15.11.2010, 22:57:02 ) R... 15.11.2010, 23:03:40 phpion Cytat(fifi209 @ 15.11.2010, 23:03:40 ... 16.11.2010, 08:07:16 fifi209 Cytat(phpion @ 16.11.2010, 08:07:16 )... 16.11.2010, 09:24:27 Wicepsik luck, wyobraź sobie sytuacje, że wpisujesz numer k... 15.11.2010, 23:43:14 luck Cytat(fifi209 @ 15.11.2010, 23:03:40 ... 16.11.2010, 08:03:29 CuteOne Zajedwabista dyskusja...
CytatKolega podał pomysł... 16.11.2010, 10:45:37 rzymek01 a po cóż to w ogóle ograniczać długość wprowadzony... 16.11.2010, 21:49:18 modern-web Pomyśl logicznie...
Ile jest ludzi w naszym świeci... 16.11.2010, 22:08:57 CuteOne po to żeby ktoś nie wrzucił "jfiewofjiwoefjiw... 16.11.2010, 22:13:08 rzymek01 Cytat(CuteOne @ 16.11.2010, 22:13:08 ... 18.11.2010, 21:58:37 modern-web Pięknie ujęte CuteOne 16.11.2010, 22:42:27 modern-web To chyba oczywiste, że po stronie klienta można zm... 18.11.2010, 23:20:46 rzymek01 Cytat(modern-web @ 18.11.2010, 23:20... 19.11.2010, 16:01:43 CuteOne up: co za problem dać dwa rodzaje zabezpieczeń? te... 19.11.2010, 20:38:25 modern-web rzymek01...
CytatSystem zabezpieczeń powinien być... 19.11.2010, 21:21:18 Ulysess skoro już taki temat jest.. zapytam się o rade.. m... 19.11.2010, 22:05:39 fifi209 A to nie mogłeś sprawdzić co robi każda z funkcji?... 19.11.2010, 22:23:27 Ulysess źle mnie zrozumialeś pytanie nie było czy funkcja... 20.11.2010, 00:35:17 fifi209 Do czego innego użyjesz mysql_real_escape_string a... 20.11.2010, 01:13:01 rzymek01 Cytat("CuteOne")te po stronie przeglądar... 20.11.2010, 13:49:21 modern-web Cytat(rzymek01 @ 20.11.2010, 13:49:21... 20.11.2010, 16:02:54 rzymek01 Cytat(modern-web @ 20.11.2010, 16:02... 20.11.2010, 22:24:37  |
|
Aktualny czas: 6.10.2025 - 11:52 |
