[PHP] Prawidłowy kod - Forum PHP.pl

[PHP] Prawidłowy kod, Czyli strona kaput znów

materkamil Zobacz profil	28.04.2012, 14:23:55 Post #1
Grupa: Zarejestrowani Postów: 188 Pomógł: 0 Dołączył: 24.04.2012 Ostrzeżenie: (0%)	Wściekłem się i zrobiłem tak: http://astrouniverse.netii.net/ No i nowa strona dalej rozwalona! http://www.astrohosting.web44.net/ I teraz wytłumaczę jak zrobiłem tą stronkę: zrobiłem na stronie głównej formularz do przesyłania hasła do skryptu. if (hasło poprawne) { pokaż formularz do przesyłania plików } else { } Jednak ten "ktoś" przesłał pliki, a ja nie wiem jakim cudem. Oto kody strony dzięki której pokazuje się formularz: [PHP] pobierz, plaintext <body background=omega.jpg> <? $tagizyja = $_POST["haslo"]; $tagikaput = strip_tags($tagizyja); if($tagikaput == "tego nie powiem") { // TUTAJ WYŚWIETLA SIĘ TEN FORMULARZ PRZESYŁANIA PLIKÓW echo("<center><font size=6 color=blue face=arial>Upload plików forum <a href=http://www.astrouniverse.pl>ASTROUNIVERSE</a></font><br><br><font size=4 color=Navy>Przypominam że na ten serwer ze względów bezpieczeństwa można przesyłać jedynie pliki z rozszerzeniem: jpg oraz gif. Wykonanie strony <b>materkamil</b><br></font> <br><form enctype=multipart/form-data action=tu jest jakis plik ale nie powiem nazwy.php method=POST> <input type=hidden name=MAX_FILE_SIZE value=5000000 /> <input name=plik type=file /> <input type=submit value=Wyslij plik /> </form><br><br><a href=tego tez nie powiem.php>Panel Administratora</a> "); } else { if(empty($tagikaput)) { echo("<center><font size=5>Dlaczego nic nie wpisałes?</font>"); } else { echo("<center><font size=5>Wpisane przez ciebie hasło <b>$tagikaput</b> jest nieprawidłowe</font>"); } } ?> [PHP] pobierz, plaintext Nie mam pojęcia jak przesłał te pliki? Przecież do przesłania trzeba.

Odpowiedzi

materkamil Zobacz profil	29.04.2012, 11:19:48 Post #2
Grupa: Zarejestrowani Postów: 188 Pomógł: 0 Dołączył: 24.04.2012 Ostrzeżenie: (0%)	Cytat Najprostsza metoda poznania adresów do konkretnych akcji to po prostu metoda prób i błędów, są prościutkie skrypty sprawdzające najpopularniejsze adresy dostępowe takie jak: domena.pl/admin, /_admin, _panel, dodaj, add, pa itp. Możesz podać przykład takiego skryptu? [PHP] pobierz, plaintext <? $haslo = strip_tags($_POST["haslo"]); if($haslo == "tu jest trudne hasło i nikt go nie odgadnie") { echo("<center><font size=6 color=blue face=arial>Upload plików forum <a href=http://www.astrouniverse.pl>ASTROUNIVERSE</a></font><br><br><font size=4 color=Navy>Przypominam że na ten serwer ze względów bezpieczeństwa można przesyłać jedynie pliki z rozszerzeniem: jpg oraz gif. Wykonanie strony <b>materkamil</b><br></font> <br><form enctype=multipart/form-data action=tego niepodam.php method=POST> <input type=hidden name=MAX_FILE_SIZE value=5000000 /> <input name=plik type=file /> <input type=submit value=Wyslij plik /> </form><br><br><a href=niepodam.php>Panel Administratora</a> "); } else { if(empty($haslo)) { echo("<center><font size=5>Dlaczego nic nie wpisałes?</font>"); } else { echo("<center><font size=5>Wpisane przez ciebie hasło jest nieprawidłowe</font>"); } } ?> [PHP] pobierz, plaintext Skrypt jest dalej taki sam. Bez if-a nie zrobisz nic. Haseł ani nazw plików nie zgadniesz. Hasła nie są związane z astronomią kompletnie i nie da się tego rozwalić. A jeśli jest tu coś, co łatwo można złamać - powiedzcie proszę jak, bo ja tu nic nie widzę. Po co sprawdzać treść zmiennej POST jak tagi są wycięte. A nawet jak puści jakiś kod to tu jest if który ładnie wywali mu błąd. Pliku nie da się dodać żadnego php ani w jpg, ani w niczym. EDit: http://forum.php.pl/top_20.html (IMG:style_emoticons/default/tongue.gif) Ten post edytował materkamil 29.04.2012, 11:24:17

!*! Zobacz profil	29.04.2012, 11:24:52 Post #3
Grupa: Zarejestrowani Postów: 4 298 Pomógł: 447 Dołączył: 16.11.2006 Ostrzeżenie: (0%)	Cytat(materkamil @ 29.04.2012, 12:19:48 ) Skrypt jest dalej taki sam. Bez if-a nie zrobisz nic. Haseł ani nazw plików nie zgadniesz. Hasła nie są związane z astronomią kompletnie i nie da się tego rozwalić. A jeśli jest tu coś, co łatwo można złamać - powiedzcie proszę jak, bo ja tu nic nie widzę. Po co sprawdzać treść zmiennej POST jak tagi są wycięte. A nawet jak puści jakiś kod to tu jest if który ładnie wywali mu błąd. Pliku nie da się dodać żadnego php ani w jpg, ani w niczym. Poprzednio też wiele razy mówiłeś że WSZYTKO JEST BEZPIECZNE, a nie było. Na serio myślisz że "złamanie" poprzednich wersji było nie wiadomo czym? Takie coś może wykonać każdy kto zna PHP od pół roku i to z palcem w nosie. Myślisz ze wycięcie tagów przed czymś Cie broni? Jakie to ma w ogóle znaczenie odnośnie hasła, w dodatku które jest jawnie przesyłane. Nikt nie poświęci swojego czasu na obejście tego co przedstawiłeś, bo nie dostanie za to pieniędzy (IMG:style_emoticons/default/wink.gif) chyba że dla własnej satysfakcji. W skrypcie wyżej NICZEGO nie sprawdzasz. Jeden if == string?

Posty w temacie

materkamil [PHP] Prawidłowy kod 28.04.2012, 14:23:55

!*! 1. musisz sprawdzić czy formularz został wysłany 2... 28.04.2012, 14:41:51

materkamil OK. Widzę że zawaliłem z tymi 6 punktami twoimi. Z... 28.04.2012, 14:50:36

!*! Cytat(materkamil @ 28.04.2012, 15:50... 28.04.2012, 15:25:55

materkamil I własnie problem jest większy. Nie ma "tego ... 28.04.2012, 15:38:41

lobopol 1. Masz dziurawy skrypt pozwalający się zalogować ... 28.04.2012, 17:05:31

Substr To ja Ci może trochę naświetle problem, bawiłem si... 28.04.2012, 22:19:15

materkamil Cytat-nie kodujesz haseł, ktoś patrzy w źródło pli... 29.04.2012, 09:24:58

!*! Cytat(materkamil @ 29.04.2012, 10:24... 29.04.2012, 10:05:37

materkamil 1. Ale on napisał o hasłach w źródle skryptu, któr... 29.04.2012, 10:17:41

!*! CytatTo hakerzy to zgadywacze? W dużej mierze tak... 29.04.2012, 10:21:39

lobopol 1. Najprostsza metoda poznania adresów do konkretn... 29.04.2012, 10:37:33

Substr Na starej stronie po wgraniu shella mogłem zobaczy... 29.04.2012, 10:42:17

!*! I jeszcze jedno. Wgranie czegokolwiek na Twój serw... 29.04.2012, 10:51:27

materkamil Czyli wypowiedzi "dalej niezabezpieczone... 29.04.2012, 10:54:10

usb2.0 Wykonanie strony: materkamil to mnie rozwala ; D s... 29.04.2012, 10:54:48

materkamil CytatWykonanie strony: materkamil to mnie rozwala ... 29.04.2012, 10:57:12

!*! Pokaż kod, czy teraz zrobiłeś to dobrze. 29.04.2012, 10:59:59

materkamil Zmienie nazwy plików i hasła i gotowe. Ten skrypt ... 29.04.2012, 11:01:29

!*! Cytat(materkamil @ 29.04.2012, 12:01... 29.04.2012, 11:07:09

materkamil CytatNajprostsza metoda poznania adresów do konkre... 29.04.2012, 11:19:48

!*! Cytat(materkamil @ 29.04.2012, 12:19... 29.04.2012, 11:24:52

materkamil A mógłbyś mi powiedzieć dlaczego i po co sprawdzać... 29.04.2012, 11:33:49

!*! A po co Ci zamek w drzwiach, skoro służą do otwier... 29.04.2012, 11:34:25

materkamil Drzwi można kopnąć z użyciem jakiegoś ciężkiego cz... 29.04.2012, 11:35:50

!*! Cytat(materkamil @ 29.04.2012, 12:35... 29.04.2012, 11:39:42

materkamil CytatW takiej formie jaką przedstawiasz, mogę ze s... 29.04.2012, 11:45:03

redeemer Cytat(materkamil @ 29.04.2012, 12:45... 29.04.2012, 11:55:28

usb2.0 a ja zapytam, tylko czy to haslo to wymyslony prze... 29.04.2012, 11:45:43

materkamil Zwykły najprostszy string trzymany w skrypcie bez ... 29.04.2012, 11:50:18

usb2.0 o chopie ;d polecam spojrzec na np jakis framewor... 29.04.2012, 11:53:12

!*! materkamil - zacznij od jakiegoś kursu PHP i googl... 29.04.2012, 11:56:07

greycoffey Ijeee, o bezpieczeństwo pyta sam nauczyciel bezpie... 29.04.2012, 15:57:04

« Następny starszy · Przedszkole · Następny nowszy »

2 Użytkowników czyta ten temat (2 Gości i 0 Anonimowych użytkowników)

0 Zarejestrowanych: