Witaj Gościu! ( Zaloguj | Rejestruj )

Forum PHP.pl

> [MySQL][PHP]Włam do bazy
AniaR
post
Post #1





Grupa: Zarejestrowani
Postów: 92
Pomógł: 0
Dołączył: 6.05.2009
Skąd: warszawa

Ostrzeżenie: (0%)
-----

Witam,
Strwożyłam prostą stronę z panelem administracyjnym. Właśnie dostałam wiadomość od firmy testującej ze aplikacja jest dziurawa i właśnie siedzą w moim panelu admina i mogą dowolnie modyfikować dane (podali login i hasło które faktycznie zapisałam w bazie).

Dodam ze login i hasło przechowuje w bazie w postaci jawnej (nie md5), do tego logowanie robię metoda POST. Na stronie jest tez wyszukiwarka która jak wiadomo łączy się z baza. Danych przesyłanych z formularza nie przepuszczam przez funkcje addslashes() ale czy robiąc to zapobiegłabym przed wykradzeniem z bazy loginu i hasła?

Proszę napiszcie jakie są sposoby aby porządnie zabezpieczyć prosta stronę z panelem admina aby nikt nie mógł dostać się do mojego loginu i hasła?



Ten post edytował AniaR 15.11.2010, 10:37:45
Go to the top of the page
+Quote Post
 
 Start new topic
Odpowiedzi
modern-web
post
Post #2





Grupa: Zarejestrowani
Postów: 763
Pomógł: 117
Dołączył: 15.03.2010
Skąd: void

Ostrzeżenie: (0%)
-----

To chyba oczywiste, że po stronie klienta można zmienić niemalże wszystko. Wystarczy 5min w google i znajdzie się masę rozwiązań.
Aczkolwiek nie zgadzam się z Tobą w 100%. Są bardziej i mniej zaawansowani (początkujący) hakerzy, którzy nawet tego typu zabezpieczenia (choć trudno go tak nazwać) przez "maxlength" nie potrafią ominąć.
Wszystko zależy od tego kogo się spodziewamy (IMG:style_emoticons/default/winksmiley.jpg)
Dużo pracy w to nie włożysz, a czasem może uratować...
Go to the top of the page
+Quote Post
rzymek01
post
Post #3





Grupa: Zarejestrowani
Postów: 592
Pomógł: 62
Dołączył: 3.08.2006

Ostrzeżenie: (0%)
-----

Cytat(modern-web @ 18.11.2010, 23:20:46 ) *
Dużo pracy w to nie włożysz, a czasem może uratować...

załózmy, że mamy taką sytuacje:
- system jest odporny na ataki zaawansowanych hakerów
i teraz wynika z Twojego postu, że pisząc dodatkową walidację po stronie klienta typu ograniczenia długości loginu "czasem może mnie uratowac". Przed czym moze mnie uratowac, jesli zgodnie z założeniem mamy system odporny na ataki.

Rozumiem walidację po stronie klienta jako ułatwienie dla klienta wypisywania formularzy, przykład:
w polu daty urodzenia podał 32-20-9000 no to od razu obok pola jakiś krzerwony krzyżyk, informacja, że pole jest błędnie wypełione, żeby od razu zobaczył gdzie ma bląd, a nie potem szukał po wysłaniu zgodnie z wyswietlonym mu komunikatem "cos jest źle, przejrzył cały formularz jeszcze raz, zastanów sie, gdzie popełniłes bład, powodzenia w szukaniu"

Cytat
Wszystko zależy od tego kogo się spodziewamy

Aha, czyli jeszcze pisząc aplikację mam tworzyć rozne systemu zabezpieczen:
1. jesli klient jest potencjalnym hakerem o małej wiedzy, to daj tylko maxlength
2. jesli klient jest potencjalnym klientem o dużej wiedzy, to filtruj pakiety już w routerze, bo jeszcze wirusa prześle na serwer ...

System zabezpieczeń powinien być uniwersalny, ale również minimalistyczny i optymalny, czyli taki aby nie powodował dodatkowych trudności u klienta jak i nie wykorzystywał na daremno mocy obliczeniowej komputera,
przykład:
$super_haslo = sha1(sha1(sha1(sha1( ... sha1( $login ) ... ))));
(IMG:style_emoticons/default/haha.gif)
Go to the top of the page
+Quote Post

Posty w temacie
- AniaR   [MySQL][PHP]Włam do bazy   15.11.2010, 10:28:29
- - celbarowicz   Umieść ten skrypt na obcym serwerze zmień hasło i ...   15.11.2010, 10:40:29
|- - fifi209   Cytat(celbarowicz @ 15.11.2010, 10:40...   15.11.2010, 18:54:44
- - tr@k   Cytat(AniaR @ 15.11.2010, 10:28:29 ) ...   15.11.2010, 10:51:01
- - Daiquiri   Jeżeli angielski nie stanowi przeszkody możesz zaw...   15.11.2010, 14:16:19
- - Mephistofeles   Przed SQL Injection najskuteczniej chroni się apli...   15.11.2010, 14:53:42
- - modern-web   Ja mam jeszcze inny sposób. Z tego co przeczytałem...   15.11.2010, 15:16:20
|- - phpion   Cytat(modern-web @ 15.11.2010, 15:16...   15.11.2010, 15:26:21
|- - phpion   Z łaski swojej zobacz czego tyczy nasza dyskusja: ...   16.11.2010, 09:37:03
- - modern-web   Nie koniecznie musi być to 6 znaków. Na przykład u...   15.11.2010, 15:34:53
|- - phpion   Cytat(modern-web @ 15.11.2010, 15:34...   15.11.2010, 19:44:13
|- - fifi209   Cytat(phpion @ 15.11.2010, 19:44:13 )...   15.11.2010, 20:20:59
- - markonix   Punkt 5ty kolegi rozwinąłbym o dodawanie do bazy w...   15.11.2010, 17:38:27
- - Daiquiri   Cytat(modern-web @ 15.11.2010, 15:34...   15.11.2010, 17:48:36
- - CuteOne   CytatI tu się mylisz. Czasami nazwa użytkownika = ...   15.11.2010, 18:05:51
- - Daiquiri   No i co w związku z tym, że istnieje wbudowana wal...   15.11.2010, 18:20:01
- - CuteOne   Rozchodzi się o to, że szukasz dziury gdzie jej ni...   15.11.2010, 18:27:54
- - luck   Cytat(fifi209 @ 15.11.2010, 20:20:59 ...   15.11.2010, 20:24:45
|- - fifi209   Cytat(luck @ 15.11.2010, 20:24:45 ) C...   15.11.2010, 22:00:31
- - Mephistofeles   Nie możesz ucinać loginu! W ten sposób użytkow...   15.11.2010, 21:12:20
- - luck   Tak czytam tą dyskusję i zastanawiam się, czy jest...   15.11.2010, 21:18:32
- - luck   Cytat(fifi209 @ 15.11.2010, 22:00:31 ...   15.11.2010, 22:57:02
|- - fifi209   Cytat(luck @ 15.11.2010, 22:57:02 ) R...   15.11.2010, 23:03:40
||- - phpion   Cytat(fifi209 @ 15.11.2010, 23:03:40 ...   16.11.2010, 08:07:16
||- - fifi209   Cytat(phpion @ 16.11.2010, 08:07:16 )...   16.11.2010, 09:24:27
|- - Wicepsik   luck, wyobraź sobie sytuacje, że wpisujesz numer k...   15.11.2010, 23:43:14
- - luck   Cytat(fifi209 @ 15.11.2010, 23:03:40 ...   16.11.2010, 08:03:29
- - CuteOne   Zajedwabista dyskusja... CytatKolega podał pomysł...   16.11.2010, 10:45:37
- - rzymek01   a po cóż to w ogóle ograniczać długość wprowadzony...   16.11.2010, 21:49:18
- - modern-web   Pomyśl logicznie... Ile jest ludzi w naszym świeci...   16.11.2010, 22:08:57
- - CuteOne   po to żeby ktoś nie wrzucił "jfiewofjiwoefjiw...   16.11.2010, 22:13:08
|- - rzymek01   Cytat(CuteOne @ 16.11.2010, 22:13:08 ...   18.11.2010, 21:58:37
- - modern-web   Pięknie ujęte CuteOne   16.11.2010, 22:42:27
- - modern-web   To chyba oczywiste, że po stronie klienta można zm...   18.11.2010, 23:20:46
|- - rzymek01   Cytat(modern-web @ 18.11.2010, 23:20...   19.11.2010, 16:01:43
- - CuteOne   up: co za problem dać dwa rodzaje zabezpieczeń? te...   19.11.2010, 20:38:25
- - modern-web   rzymek01... CytatSystem zabezpieczeń powinien być...   19.11.2010, 21:21:18
- - Ulysess   skoro już taki temat jest.. zapytam się o rade.. m...   19.11.2010, 22:05:39
- - fifi209   A to nie mogłeś sprawdzić co robi każda z funkcji?...   19.11.2010, 22:23:27
- - Ulysess   źle mnie zrozumialeś pytanie nie było czy funkcja...   20.11.2010, 00:35:17
- - fifi209   Do czego innego użyjesz mysql_real_escape_string a...   20.11.2010, 01:13:01
- - rzymek01   Cytat("CuteOne")te po stronie przeglądar...   20.11.2010, 13:49:21
- - modern-web   Cytat(rzymek01 @ 20.11.2010, 13:49:21...   20.11.2010, 16:02:54
- - rzymek01   Cytat(modern-web @ 20.11.2010, 16:02...   20.11.2010, 22:24:37

« Następny starszy · Przedszkole · Następny nowszy »
 

Reply to this topicStart new topic
2 Użytkowników czyta ten temat (2 Gości i 0 Anonimowych użytkowników)
0 Zarejestrowanych:

 

Tryb wyświetlania: Przełącz na: Standardowy · Przełącz na: Linearny+ · Drzewo

Śledź ten temat · Wyślij temat na e-mail · Wydrukuj ten temat · Subskrybuj to forum

RSS Aktualny czas: 13.10.2025 - 23:56
Powered By IP.Board © 2025  IPS, Inc.
All changes by PHP.pl Administrators
Hosting zapewnia NQ.pl hosting, trac, svn