[MySQL][PHP]Włam do bazy

[MySQL][PHP]Włam do bazy

AniaR Zobacz profil	15.11.2010, 10:28:29 Post #1
Grupa: Zarejestrowani Postów: 92 Pomógł: 0 Dołączył: 6.05.2009 Skąd: warszawa Ostrzeżenie: (0%)	Witam, Strwożyłam prostą stronę z panelem administracyjnym. Właśnie dostałam wiadomość od firmy testującej ze aplikacja jest dziurawa i właśnie siedzą w moim panelu admina i mogą dowolnie modyfikować dane (podali login i hasło które faktycznie zapisałam w bazie). Dodam ze login i hasło przechowuje w bazie w postaci jawnej (nie md5), do tego logowanie robię metoda POST. Na stronie jest tez wyszukiwarka która jak wiadomo łączy się z baza. Danych przesyłanych z formularza nie przepuszczam przez funkcje addslashes() ale czy robiąc to zapobiegłabym przed wykradzeniem z bazy loginu i hasła? Proszę napiszcie jakie są sposoby aby porządnie zabezpieczyć prosta stronę z panelem admina aby nikt nie mógł dostać się do mojego loginu i hasła? Ten post edytował AniaR 15.11.2010, 10:37:45

Odpowiedzi

modern-web Zobacz profil	19.11.2010, 21:21:18 Post #2
Grupa: Zarejestrowani Postów: 763 Pomógł: 117 Dołączył: 15.03.2010 Skąd: void Ostrzeżenie: (0%)	rzymek01... Cytat System zabezpieczeń powinien być uniwersalny, ale również minimalistyczny i optymalny, czyli taki aby nie powodował dodatkowych trudności u klienta jak i nie wykorzystywał na daremno mocy obliczeniowej komputera, przykład Rzeczywiście, maxlength bardzo obciąża procesor, powoduje dodatkowe problemy u klienta i na dodatek trzeba włożyć ogromny wysiłek żeby tego typu 'pseudo zabezpieczenie' wprowadzić. Gratuluję rozumowania. A pisząc "Wszystko zależy od tego kogo się spodziewamy" miałem na myśli to, że mała stronka chyba będzie mniej popularna od na przykład serwisu społecznościowego (gdyby ktoś chciał się za tego typu projekt zabrać ;p), a co za tym idzie zabezpieczenia nie muszą być idealne i milion razy sprawdzone. To chyba oczywiste, że nk / facebook atakowane są częściej niż dajmy na to http://dpage.pl/ (bez urazy xP). Pomyśl czasem zanim cokolwiek napiszesz...

Posty w temacie

AniaR [MySQL][PHP]Włam do bazy 15.11.2010, 10:28:29

celbarowicz Umieść ten skrypt na obcym serwerze zmień hasło i ... 15.11.2010, 10:40:29

fifi209 Cytat(celbarowicz @ 15.11.2010, 10:40... 15.11.2010, 18:54:44

tr@k Cytat(AniaR @ 15.11.2010, 10:28:29 ) ... 15.11.2010, 10:51:01

Daiquiri Jeżeli angielski nie stanowi przeszkody możesz zaw... 15.11.2010, 14:16:19

Mephistofeles Przed SQL Injection najskuteczniej chroni się apli... 15.11.2010, 14:53:42

modern-web Ja mam jeszcze inny sposób. Z tego co przeczytałem... 15.11.2010, 15:16:20

phpion Cytat(modern-web @ 15.11.2010, 15:16... 15.11.2010, 15:26:21

phpion Z łaski swojej zobacz czego tyczy nasza dyskusja: ... 16.11.2010, 09:37:03

modern-web Nie koniecznie musi być to 6 znaków. Na przykład u... 15.11.2010, 15:34:53

phpion Cytat(modern-web @ 15.11.2010, 15:34... 15.11.2010, 19:44:13

fifi209 Cytat(phpion @ 15.11.2010, 19:44:13 )... 15.11.2010, 20:20:59

markonix Punkt 5ty kolegi rozwinąłbym o dodawanie do bazy w... 15.11.2010, 17:38:27

Daiquiri Cytat(modern-web @ 15.11.2010, 15:34... 15.11.2010, 17:48:36

CuteOne CytatI tu się mylisz. Czasami nazwa użytkownika = ... 15.11.2010, 18:05:51

Daiquiri No i co w związku z tym, że istnieje wbudowana wal... 15.11.2010, 18:20:01

CuteOne Rozchodzi się o to, że szukasz dziury gdzie jej ni... 15.11.2010, 18:27:54

luck Cytat(fifi209 @ 15.11.2010, 20:20:59 ... 15.11.2010, 20:24:45

fifi209 Cytat(luck @ 15.11.2010, 20:24:45 ) C... 15.11.2010, 22:00:31

Mephistofeles Nie możesz ucinać loginu! W ten sposób użytkow... 15.11.2010, 21:12:20

luck Tak czytam tą dyskusję i zastanawiam się, czy jest... 15.11.2010, 21:18:32

luck Cytat(fifi209 @ 15.11.2010, 22:00:31 ... 15.11.2010, 22:57:02

fifi209 Cytat(luck @ 15.11.2010, 22:57:02 ) R... 15.11.2010, 23:03:40

phpion Cytat(fifi209 @ 15.11.2010, 23:03:40 ... 16.11.2010, 08:07:16

fifi209 Cytat(phpion @ 16.11.2010, 08:07:16 )... 16.11.2010, 09:24:27

Wicepsik luck, wyobraź sobie sytuacje, że wpisujesz numer k... 15.11.2010, 23:43:14

luck Cytat(fifi209 @ 15.11.2010, 23:03:40 ... 16.11.2010, 08:03:29

CuteOne Zajedwabista dyskusja... CytatKolega podał pomysł... 16.11.2010, 10:45:37

rzymek01 a po cóż to w ogóle ograniczać długość wprowadzony... 16.11.2010, 21:49:18

modern-web Pomyśl logicznie... Ile jest ludzi w naszym świeci... 16.11.2010, 22:08:57

CuteOne po to żeby ktoś nie wrzucił "jfiewofjiwoefjiw... 16.11.2010, 22:13:08

rzymek01 Cytat(CuteOne @ 16.11.2010, 22:13:08 ... 18.11.2010, 21:58:37

modern-web Pięknie ujęte CuteOne 16.11.2010, 22:42:27

modern-web To chyba oczywiste, że po stronie klienta można zm... 18.11.2010, 23:20:46

rzymek01 Cytat(modern-web @ 18.11.2010, 23:20... 19.11.2010, 16:01:43

CuteOne up: co za problem dać dwa rodzaje zabezpieczeń? te... 19.11.2010, 20:38:25

modern-web rzymek01... CytatSystem zabezpieczeń powinien być... 19.11.2010, 21:21:18

Ulysess skoro już taki temat jest.. zapytam się o rade.. m... 19.11.2010, 22:05:39

fifi209 A to nie mogłeś sprawdzić co robi każda z funkcji?... 19.11.2010, 22:23:27

Ulysess źle mnie zrozumialeś pytanie nie było czy funkcja... 20.11.2010, 00:35:17

fifi209 Do czego innego użyjesz mysql_real_escape_string a... 20.11.2010, 01:13:01

rzymek01 Cytat("CuteOne")te po stronie przeglądar... 20.11.2010, 13:49:21

modern-web Cytat(rzymek01 @ 20.11.2010, 13:49:21... 20.11.2010, 16:02:54

rzymek01 Cytat(modern-web @ 20.11.2010, 16:02... 20.11.2010, 22:24:37

« Następny starszy · Przedszkole · Następny nowszy »

1 Użytkowników czyta ten temat (1 Gości i 0 Anonimowych użytkowników)

0 Zarejestrowanych:

Forum PHP.pl