[www/skrypt] Ocena skryptu komentarzy, Czyli rozbudowa MaterDefense Opcje

[materkamil]

Po ostatnich cudach z skryptem uploadu zauważyłem że robię czasem głupie błędy. Dlatego też chciałbym abyście sprawdzili pod względem bezpieczeństwa napisany przeze mnie OD PODSTAW skrypt komentarzy z bazą danych MySQL. Cały skrypt napisałem na własnej klawiaturze więc nie wiem czy jest bezpieczny. Chodzi o to czy nie jest podatny na podstawowe ataki, chociaż raczej wszystko zabezpieczyłem.

I jeszcze przy okazji dodałem 7 część kursu PHP a dokładniej wprowadzeni do SQL. Nagrałem już również część 5 i 6 ale na razie nie mam możliwości jest zauploadować i pojawi się nie wcześniej niż w sobotę.

Oto adres:
http://materdefense.ugu.pl/kursphp.php

Tu dodaje jeszcze adres strony głównej:
http://materdefense.ugu.pl

Komentarze na dole.

PS: Dodam że polskie znaki nie działają, ale rozwiązuje ten problem już w innym wątku.

Ten post edytował materkamil 3.05.2012, 18:27:56

[lobopol]

Błagam Ciebie, nie rób kursu php dopóki nie będziesz miał odpowiedniej wiedzy. Przejrzałem kilka podstron nie znalazłem tego twojego skryptu komentarzy, a jedynie mnóstwo literówek i błędów w twoich "lekcjach".

[materkamil]

Skrypt jest na dole tej strony:
http://materdefense.ugu.pl/kursphp.php

Ten kurs PHP to jedynie podstawy w moim wydaniu. Wszystko jest dobrze i ok. Wszystko działa i wszystko jest ok. Znajdziesz konkretny błąd, napisz, a nie takie coś

[!*!]

SQL != MySQL
PHP != SQL
I gdzie ten kurs PHP? Pokazujesz coś w konsoli której nie widać, ale powiedzmy że ktoś Cie słucha...

1. Początkujący nie użyją konsoli, bo połowy nie rozumieją
2. Zaawansowani programiści nie użyją konsoli bo mają własne narzędzia, a jak nie, to i tak znają polecenia na pamięć, a nawet je sobie zbindują. I gdzie ten skrypt komentarzy jest?

[materkamil]

Pokazujesz coś w konsoli której nie widać,

Od tego jest jakość HD w rozdzielczości mojego monitora 1366x768 więc odtwarzany na laptopie idealnie pasuje na cały ekran.

PHP != SQL

Skąd do wymyśliłeś? Przecież w ramach kursu PHP jest wprowadzenie do SQL, jak będziesz pisał funkcje mysql_query?

1. Początkujący nie użyją konsoli, bo połowy nie rozumieją

I po to jest ten kurs! Żeby rozumieli

Zaawansowani programiści nie użyją konsoli bo mają własne narzędzia

To jest kurs dla początkujących. Ale prawdę powiem ze jak robię stronkę z bazą to używam narzędzie phpMyAdmin

I gdzie ten skrypt komentarzy jest?

Może źle to powiedziałem, ale chodzi o te komentarze na dole kursuphp, na razie bez kodu. Może znajdzie się jakiś spec i znów mi wyświetli komunikaty (chociaż wątpie bo bardzo to zabezpieczałem)

EDit: I już rozwalone. Jakim cudem? Od już daje kod stronki:

[PHP] pobierz, plaintext 
<?
$tresc = $_POST["tresc"];
$nick = $_POST["nick"];
 
if(preg_match('#[a-z0-9A-ZąćęłńóśźżĄĆĘŁŃÓŚŹŻ\s\.]{1,200}#is',$tresc) && preg_match('#[a-z0-9A-ZąćęłńóśźżĄĆĘŁŃÓŚŹŻ\s\.]{1,200}#is',$nick)) {
 
$baza = mysql_connect("dfgfdl","dfgfd","dfgdf") or die("Problem z serwerem");;
$baza = mysql_select_db("dfgdfg") or die("Problem z bazą");
mysql_query("insert into kursphp SET tresc='$tresc', nick='$nick'");
echo("<script src=przerkierowanie.js></script>");
}	
else
{
	echo("<center><br><br><img src=images/xss.jpg></img>");
}
?>
[PHP] pobierz, plaintext 

Ten post edytował materkamil 3.05.2012, 19:14:03

[!*!]

Od tego jest jakość HD w rozdzielczości mojego monitora 1366x768 więc odtwarzany na laptopie idealnie pasuje na cały ekran.

Już to przerabialiśmy. Nic nie widać.

Skąd do wymyśliłeś? Przecież w ramach kursu PHP jest wprowadzenie do SQL, jak będziesz pisał funkcje mysql_query?

mysql* już się nie używa i prawdopodobnie w kolejnych wersjach PHP zniknie.

Może źle to powiedziałem, ale chodzi o te komentarze na dole kursuphp, na razie bez kodu. Może znajdzie się jakiś spec i znów mi wyświetli komunikaty (chociaż wątpie bo bardzo to zabezpieczałem)

Jak widać na stronie z komciami, niczego nie zabezpieczyłeś bo już jest rozwalona.

[materkamil]

Kod wyżej. Ktoś się na prawdę zna...

[!*!]

Nadal masz skrypt podatny na wszytko. Niczego się nie nauczyłeś po ostatnim? Ehh szkoda czasu...

Ten post edytował !*! 3.05.2012, 19:16:52

[materkamil]

Jest przecież preg_match!

[!*!]

Jest przecież preg_match!

O łał, poważnie? A po co Ci on? I dlaczego sądzisz że preg_match ma Cie bronić przed czymkolwiek?

[materkamil]

Przecież filtruje zmienną. Nie można wpisać żadnych znaków HTML bo jest filtracja. Jak on przesłał tagi html? przecież wszystko jest wycięte

[!*!]

Jak widzisz nic nie jest wycięte. Sprawdzasz czasami skrypty które piszesz? Sytuacja się powtarza tak jak przy skrypcie wysyłania plików.

Sprawdź czy formularz został wysłany, usuń kod html, a jak już chcesz go mieć to wybierz jakie tagi mogą przejść, filtruj dane po prostu, a jak już używasz p_g to rób to dobrze, a nie tworzysz jakieś dziwolągi które przepuszczą dosłownie wszytko, nawet kod JS.

Edycja:
I czy Ty na pewno wiesz co czego jest preg_match? Patrząc na kod śmiem wątpić.
Czy następny art będzie o tym jak "shackowano" Ci komentarze?

Ten post edytował !*! 3.05.2012, 19:47:03

[k_@_m_i_l]

chociaż raczej wszystko zabezpieczyłem.
PS: Dodam że polskie znaki nie działają, ale rozwiązuje ten problem już w innym wątku.

Ech, nie potrafisz ustawić kododawania polskich znaków w bazie danych a próbujesz innych uczyć php ? Za bardzo chłopcze chyba uwierzyłeś, że potrafisz kodować cuda, jakich nikt inny nie potrafi. Nie chcę zbytnio krytykować, ale kup sobie książkę (choćby tą: http://helion.pl/ksiazki/php-i-mysql-tworz...son,phms4v.htm), zaszyj się w domu i dopóki jej nie przeczytasz i nie zrozumiesz to nie wystawaj nic do publicznego widoku.
Ja rozumiem, że każdy się uczył i każdy popełniał ewidentne błędy, ale nie każdy wystawiał to do oceny, a co więcej: nikt (chyba ;p) z takim poziomem wiedzy, a raczej niewiedzy nie próbował innych uczyć.

Ten post edytował k_@_m_i_l 3.05.2012, 19:48:02

[materkamil]

nie potrafisz ustawić kododawania polskich znaków w bazie danych

Problem na pewno nie tkwi w tym

Jak widzisz nic nie jest wycięte.

Jak nic nie jest wycięte. To wpisz sobie pod nick: < to zobaczysz co ci się pojawi (błąd i obrazek)!. W takim razie jak przesłano kod, skoro jeśli zmienna zawiera < to jest od razu odrzucana?

Początkowe kursy to tylko tekst, zmienne, pliki i baza więc proste rzeczy. Już to potrafię, kod jakiegoś skryptu z bazą czy coś w tym stylu piszę z zamkniętymi oczami więc myślę że opanowałem to już dobrze.

Ten post edytował materkamil 3.05.2012, 22:33:41

[pyro]

Dzis dodalem system komentarzy Niestety polskie litery nie chca dzialac ale naprawiam ten problem

Przypominamy iż w komentarzach ze względów bezpieczeństwa dopuszczalne są jedynie cyfry i litery

Dodatkowo ten "system komentarzy" nie działa.

No naprawdę... ale to jest właśnie przykład jak skryptów / stron nie robić. To fajnie, że chcesz pełnić dydaktyczną funkcję, ale jak chce się czegoś uczyć, to wypadałoby coś o danej tematyce najpiew wiedzieć, nieprawdaż?

Ten post edytował pyro 3.05.2012, 22:37:51

[materkamil]

Jak to nie działa? Działa i to dobrze!

coś o danej tematyce najpiew wiedzieć, nieprawdaż?

O jaki brak wiedzy mnie oskarżacie? Wszystkie kwestie przedstawione w kusie wiem, umie i rozumie w 100%.

I chciałbym wiedzieć bo ja nie wiem jak:

W takim razie jak przesłano kod, skoro jeśli zmienna zawiera < to jest od razu odrzucana?

[!*!]

O jaki brak wiedzy mnie oskarżacie? Wszystkie kwestie przedstawione w kusie wiem, umie i rozumie w 100%.

To że wiesz jak napisać echo i zapewne zrobisz to tak:

[PHP] pobierz, plaintext 
echo ("test");
[PHP] pobierz, plaintext 

Nie znaczy że jest to poprawne.

Poprzednia wersja pozwalała normalnie na przesłanie kodu html i js z poziomu formularza, Twoje wyrażenie przepuszczało wszytko, bo tak je napisałeś czyli "przepuść gdy znajdziesz wymienione znaki."

A tak w ogóle, treść powinna być w textarea.

Ten post edytował !*! 4.05.2012, 08:18:28

[Kokoszz]

coś dziurawy ten Twój skrtpt.. nawet bardzo

Ten post edytował Kokoszz 4.05.2012, 08:40:13

[usb2.0]

:D:D
dobre jak sie nic nie poda tylko przesle pusty form -> http://materdefense.ugu.pl/images/xss.jpg
:DDDDDDDD

[phpion]

O jaki brak wiedzy mnie oskarżacie? Wszystkie kwestie przedstawione w kusie wiem, umie i rozumie w 100%.

Troszkę pokory. Jeśli bardziej zaawansowani użytkownicy piszą Ci, że masz jakieś braki to tak jest. Obejrzałem 2 Twoje kursy (3 i 7) i stwierdzam, że faktycznie powinieneś troszkę bardziej zgłębić temat programowania w PHP zanim zaczniesz uczyć innych.

Co do komentarzy: zabezpiecz się przed ponownym dodawaniem X komentarzy pod rząd poprzez odświeżenie strony. Jak? Poszukaj, poczytaj, poucz się.