katalog stron, prośba o opinie Opcje

[izabela]

aktualnie jest już ok,
moje zmiany raczej tego nie naprawiły ale w między czasie pisałam z dostawcą hostingu i odpisali, że jest już OK.
Jak napiszą co zmienili to się pochwalę.

[nospor]

moje zmiany raczej tego nie naprawiły ale w między czasie pisałam z dostawcą hostingu i odpisali, że jest już OK.
Jak napiszą co zmienili to się pochwalę.

hehe, to pewnie i oni napsuli (IMG:style_emoticons/default/smile.gif)

[izabela]

do pliku index.php dopisali:

Kod

mysql_query("SET NAMES 'latin1'")

Ten post edytował izabela 14.04.2010, 13:51:47

[nospor]

tez w pierwszej kolejnosci o tym pomyslalem, ale nie proponowalem tego, gdyż skoro rano działało a teraz nagle nie... (IMG:style_emoticons/default/winksmiley.jpg)
To nadal baze masz w kodowaniu utf8? i tabele tez? a dane w nich zapisujesz w iso?

[izabela]

tak, nadal, a dokładnie to
dla tabeli mam utf-8
a dla całej bazy: latin2_general_ci

[nospor]

No to jesli w tabeli trzymasz dane w iso (latin2) to dobrze by było by i tabela była w latin2 a nie w utf8.
Jesli masz mozliwosc to przekonwertuj to.

[izabela]

zmienione,

teraz walczę z SQL Injection.
dodałam do akcji POST.

Kod

$site_description = mysql_escape_string($_POST['site_description']);

dodaje znak / natomiast nadal Twój skrypt wyświetla okno o treści 2 ;/

[nospor]

dodaje znak / natomiast nadal Twój skrypt wyświetla okno o treści 2 ;/

A skad wiesz ze to moj skrypt? (IMG:style_emoticons/default/winksmiley.jpg)
akurat to okienko z 2 to nie jest atak sqlinjection tylko XSS. Zapewne dlatego twoje zabezpieczenie na niego nie dziala (IMG:style_emoticons/default/winksmiley.jpg)

[izabela]

1) podatne na atak SQLInjection
2) podatne na atak XSS

1) możesz podać przykład?

2) rozumiem, że m.in komunikat o treści 2

[nospor]

ad1) http://www.kataloq.pl/category-or%201=1.html
ad2) tak, między innymi.

[izabela]

ad1) http://www.kataloq.pl/category-or%201=1.html

Przeanalizujmy:

1. stronę tak otrzymałeś poprzez wpisanie parametrów do linku czy poprzez któryś formularz?
2. błędem jest dodatkowo to, że widać strukturę plików ;/
3. innych zmian nie widzę.

[nospor]

ad1) no tak jak widzisz. podalem taki url i twoje zapytanie to przyjelo i sie wysypalo - nie powinno. Jest to potencjalnie niebezpieczne
ad2) tak
ad3) zgadza się. Nie jestem hakerem. Moim celem nie jest popsucie ci czegos w bazie a jedynie zwrócenie uwagi na błąd (IMG:style_emoticons/default/smile.gif)
Zapewne nawet nie byłbym w stanie ci nic napsuc poprzez akurat tę lukę w tym miejscu. Nie mniej jednak luka jest i dobrze by było na przyszłość byś niedopuszczała do ich powstawania.

[Daiquiri]

1. stronę tak otrzymałeś poprzez wpisanie parametrów do linku czy poprzez któryś formularz?

Nie możesz liczyć na to, że Twoja strona będzie oglądana tylko w takiej postaci w jakiej zostanie "wygenerowana". Zawsze znajdzie się ktoś, kto spróbuje sprawdzić "a co się stanie jeżeli..." i z palca wpisze jakieś pierdoły do np. paska adresu i zobaczy, że strony mogą być numerowane nie tylko za pomocą liczba całkowitych ;-). Niestety zazwyczaj nie kończy się to na "zabawie" z numeracją.


Co do wyglądu: może zerknij na to, jak wygląda Twój baner w kontekście np. reklamy N-ki - trochę dziwnie nieprawdaż?