[MySQL][PHP]Włam do bazy

[MySQL][PHP]Włam do bazy

AniaR Zobacz profil	15.11.2010, 10:28:29 Post #1
Grupa: Zarejestrowani Postów: 92 Pomógł: 0 Dołączył: 6.05.2009 Skąd: warszawa Ostrzeżenie: (0%)	Witam, Strwożyłam prostą stronę z panelem administracyjnym. Właśnie dostałam wiadomość od firmy testującej ze aplikacja jest dziurawa i właśnie siedzą w moim panelu admina i mogą dowolnie modyfikować dane (podali login i hasło które faktycznie zapisałam w bazie). Dodam ze login i hasło przechowuje w bazie w postaci jawnej (nie md5), do tego logowanie robię metoda POST. Na stronie jest tez wyszukiwarka która jak wiadomo łączy się z baza. Danych przesyłanych z formularza nie przepuszczam przez funkcje addslashes() ale czy robiąc to zapobiegłabym przed wykradzeniem z bazy loginu i hasła? Proszę napiszcie jakie są sposoby aby porządnie zabezpieczyć prosta stronę z panelem admina aby nikt nie mógł dostać się do mojego loginu i hasła? Ten post edytował AniaR 15.11.2010, 10:37:45

Odpowiedzi

rzymek01 Zobacz profil	20.11.2010, 13:49:21 Post #2
Grupa: Zarejestrowani Postów: 592 Pomógł: 62 Dołączył: 3.08.2006 Ostrzeżenie: (0%)	Cytat("CuteOne") te po stronie przeglądarki, żeby ino zwykły użytkownik wiedział ile liter na login może "wykorzystać" wg mnie starczy informacja o tym, a nie "na siłę" zakazywać, nie bo nie, nie róbmy z użytkownika totalnego idioty, oczywiście jeśli wpisze np. 10 znaków, a max ma być 8, to powinno się wyświetlić cokolwiek co poinformuje użytkownika o tym. Dla przykładu załózmy taką sytuację: starsza osoba, niech będzie to babcia, rejestruje się na stronie, patrzy cały czas na klawiaturę, bo nie umie pisac bezwzrokowo i wpisuje sobie 10 znakowy login (a w formularzu jest maxlength 8), gdzie tutaj jeszcze jest możliwa korekta błędu, gdy zauwazy że literki sie nie zgadzają, ale w polu typu password literek nie widac i tak zamiast 10 znakowego hasła wymyślonego przez babcię, do bazy zostaje zapisane hasło 8 znakowe tutaj powiecie: zaraz, zaraz, ale w formularzu do logowania, rowniez jest ustawiony maxlength dla hasła, więc wszystko cacy, otóz nie, bo niech chociażby zmienimy sobie maks. długosc hasła na stutek jakiejś propagandy na temat długości hasła i ustawiomy wszędzie maxlength 9, i co? babcia się nie zaloguje.... @modern-web, to samo co wyżej napisałem + to, że jednak musisz to napisać oraz pamiętać o tym, gdzie to napisałeś, aby w przyszłości móc zmieniać system zabezpieczeń Pozdrawiam

modern-web Zobacz profil	20.11.2010, 16:02:54 Post #3
Grupa: Zarejestrowani Postów: 763 Pomógł: 117 Dołączył: 15.03.2010 Skąd: void Ostrzeżenie: (0%)	Cytat(rzymek01 @ 20.11.2010, 13:49:21 ) wg mnie starczy informacja o tym, a nie "na siłę" zakazywać, nie bo nie, nie róbmy z użytkownika totalnego idioty, oczywiście jeśli wpisze np. 10 znaków, a max ma być 8, to powinno się wyświetlić cokolwiek co poinformuje użytkownika o tym. Dla przykładu załózmy taką sytuację: starsza osoba, niech będzie to babcia, rejestruje się na stronie, patrzy cały czas na klawiaturę, bo nie umie pisac bezwzrokowo i wpisuje sobie 10 znakowy login (a w formularzu jest maxlength 8), gdzie tutaj jeszcze jest możliwa korekta błędu, gdy zauwazy że literki sie nie zgadzają, ale w polu typu password literek nie widac i tak zamiast 10 znakowego hasła wymyślonego przez babcię, do bazy zostaje zapisane hasło 8 znakowe tutaj powiecie: zaraz, zaraz, ale w formularzu do logowania, rowniez jest ustawiony maxlength dla hasła, więc wszystko cacy, otóz nie, bo niech chociażby zmienimy sobie maks. długosc hasła na stutek jakiejś propagandy na temat długości hasła i ustawiomy wszędzie maxlength 9, i co? babcia się nie zaloguje.... @modern-web, to samo co wyżej napisałem + to, że jednak musisz to napisać oraz pamiętać o tym, gdzie to napisałeś, aby w przyszłości móc zmieniać system zabezpieczeń Pozdrawiam Po 1: mały procent 'starszych' osób korzysta z internetu - nie wiem czy to zauważyłeś ale wątpię. Po 2: prędzej poproszą o to bystrego wnusia... Po 3: zszedłeś z tematu (który tak na serio został już rozwiązany...) Po 4: każdy ma odmienne zdanie więc nie widzę sensu, by dalej ciągnąć tę dyskusję. Ten post edytował modern-web 20.11.2010, 16:03:32

Posty w temacie

AniaR [MySQL][PHP]Włam do bazy 15.11.2010, 10:28:29

celbarowicz Umieść ten skrypt na obcym serwerze zmień hasło i ... 15.11.2010, 10:40:29

fifi209 Cytat(celbarowicz @ 15.11.2010, 10:40... 15.11.2010, 18:54:44

tr@k Cytat(AniaR @ 15.11.2010, 10:28:29 ) ... 15.11.2010, 10:51:01

Daiquiri Jeżeli angielski nie stanowi przeszkody możesz zaw... 15.11.2010, 14:16:19

Mephistofeles Przed SQL Injection najskuteczniej chroni się apli... 15.11.2010, 14:53:42

modern-web Ja mam jeszcze inny sposób. Z tego co przeczytałem... 15.11.2010, 15:16:20

phpion Cytat(modern-web @ 15.11.2010, 15:16... 15.11.2010, 15:26:21

phpion Z łaski swojej zobacz czego tyczy nasza dyskusja: ... 16.11.2010, 09:37:03

modern-web Nie koniecznie musi być to 6 znaków. Na przykład u... 15.11.2010, 15:34:53

phpion Cytat(modern-web @ 15.11.2010, 15:34... 15.11.2010, 19:44:13

fifi209 Cytat(phpion @ 15.11.2010, 19:44:13 )... 15.11.2010, 20:20:59

markonix Punkt 5ty kolegi rozwinąłbym o dodawanie do bazy w... 15.11.2010, 17:38:27

Daiquiri Cytat(modern-web @ 15.11.2010, 15:34... 15.11.2010, 17:48:36

CuteOne CytatI tu się mylisz. Czasami nazwa użytkownika = ... 15.11.2010, 18:05:51

Daiquiri No i co w związku z tym, że istnieje wbudowana wal... 15.11.2010, 18:20:01

CuteOne Rozchodzi się o to, że szukasz dziury gdzie jej ni... 15.11.2010, 18:27:54

luck Cytat(fifi209 @ 15.11.2010, 20:20:59 ... 15.11.2010, 20:24:45

fifi209 Cytat(luck @ 15.11.2010, 20:24:45 ) C... 15.11.2010, 22:00:31

Mephistofeles Nie możesz ucinać loginu! W ten sposób użytkow... 15.11.2010, 21:12:20

luck Tak czytam tą dyskusję i zastanawiam się, czy jest... 15.11.2010, 21:18:32

luck Cytat(fifi209 @ 15.11.2010, 22:00:31 ... 15.11.2010, 22:57:02

fifi209 Cytat(luck @ 15.11.2010, 22:57:02 ) R... 15.11.2010, 23:03:40

phpion Cytat(fifi209 @ 15.11.2010, 23:03:40 ... 16.11.2010, 08:07:16

fifi209 Cytat(phpion @ 16.11.2010, 08:07:16 )... 16.11.2010, 09:24:27

Wicepsik luck, wyobraź sobie sytuacje, że wpisujesz numer k... 15.11.2010, 23:43:14

luck Cytat(fifi209 @ 15.11.2010, 23:03:40 ... 16.11.2010, 08:03:29

CuteOne Zajedwabista dyskusja... CytatKolega podał pomysł... 16.11.2010, 10:45:37

rzymek01 a po cóż to w ogóle ograniczać długość wprowadzony... 16.11.2010, 21:49:18

modern-web Pomyśl logicznie... Ile jest ludzi w naszym świeci... 16.11.2010, 22:08:57

CuteOne po to żeby ktoś nie wrzucił "jfiewofjiwoefjiw... 16.11.2010, 22:13:08

rzymek01 Cytat(CuteOne @ 16.11.2010, 22:13:08 ... 18.11.2010, 21:58:37

modern-web Pięknie ujęte CuteOne 16.11.2010, 22:42:27

modern-web To chyba oczywiste, że po stronie klienta można zm... 18.11.2010, 23:20:46

rzymek01 Cytat(modern-web @ 18.11.2010, 23:20... 19.11.2010, 16:01:43

CuteOne up: co za problem dać dwa rodzaje zabezpieczeń? te... 19.11.2010, 20:38:25

modern-web rzymek01... CytatSystem zabezpieczeń powinien być... 19.11.2010, 21:21:18

Ulysess skoro już taki temat jest.. zapytam się o rade.. m... 19.11.2010, 22:05:39

fifi209 A to nie mogłeś sprawdzić co robi każda z funkcji?... 19.11.2010, 22:23:27

Ulysess źle mnie zrozumialeś pytanie nie było czy funkcja... 20.11.2010, 00:35:17

fifi209 Do czego innego użyjesz mysql_real_escape_string a... 20.11.2010, 01:13:01

rzymek01 Cytat("CuteOne")te po stronie przeglądar... 20.11.2010, 13:49:21

modern-web Cytat(rzymek01 @ 20.11.2010, 13:49:21... 20.11.2010, 16:02:54

rzymek01 Cytat(modern-web @ 20.11.2010, 16:02... 20.11.2010, 22:24:37

« Następny starszy · Przedszkole · Następny nowszy »

2 Użytkowników czyta ten temat (2 Gości i 0 Anonimowych użytkowników)

0 Zarejestrowanych:

Forum PHP.pl