Kilka pytań od amatora Opcje

[michat34]

hej, wam moga sie te pytania wydac glupie ale coz:

1. po co tyle kodowan znakow, skoro i tak wiekszosci sie odradza ich uzywanie? czytalem w wikipedii o niektorych i w 90% jest 'odradza sie jego uzycie, gdyz powoduje błedy w czymstam', albo 'gdyz jest niekompatybilna'. w samym mysql nawet dla utf sa cztery odmiany, po kazdej dla jezyka, latiny, a i tak kazdy ci doradza uzycie generatl_utf8... tak wiec po co tyle kodowan, BOMy, nie BOMy, ktore sprawiaja czeste bledy w kodowaniu, skryptach?
2. czy mozna shakowac jakos strone poza wprowadzaniem danych z formularza? wiem ze formularze sa najbardziej wrazliwe wiec nalezy dawac ich jak najmniej oraz filtowac. ale czy da sie jakos shakowac strone nie z formularzy czy linku url? tutaj akurat nie musicie podawac przykładow, tylko jakbyscie mogli zwrocic uwage na co uwazac :P

cos tam jeszcze miałem zapytac ale zapomnialem dopisze jak sobie przypomne

Ten post edytował michat34 17.09.2012, 07:39:15

[scanner]

Ad. 1) bo świat ewoluuje i to co kiedyś wydawało się dobre, po jakimś czasie okazuje się błędne/niewystarczające. W międzyczasie różni ludzie próbują znaleźć różne rozwiązania niektórych problemów, na które trafiają i jakieś rozwiązanie albo się przyjmuje, albo nie.
Ad. 2) http://bit.ly/RYzmj8

[IceManSpy]

Strona o atakach, a sama została uznana za zainfekowaną.

[peter13135]

2. Formularzy trzeba dawać tyle ile potrzeba w danej aplikacji i robić je tak, żeby było dobrze. Jak korzystasz z frameworka, albo chociaż samego PDO to o bezpieczeństwo martwić się nie musisz.
Aby "shakowac" stronę można podać dane zarówno metodą POST jak i GET, a nawet i w COOKIES

[!*!]

Jak korzystasz z frameworka, albo chociaż samego PDO to o bezpieczeństwo martwić się nie musisz.

Bez żartów. A jak już to do działu "Humor".

Ten post edytował !*! 17.09.2012, 12:43:14

[Tuminure]

@up
Ja dla pewności bym poczekał na odpowiedź jednego z właścicieli najlepszej polskiej strony dot. bezpieczeństwa .

wiem ze formularze sa najbardziej wrazliwe wiec nalezy dawac ich jak najmniej

Najmniej? Ma być formularz to jest formularz. Nie ma go być, to go nie ma. Nie widzę sensu w ograniczaniu ilości formularzy ze względu na bezpieczeństwo strony.

czy mozna shakowac jakos strone poza wprowadzaniem danych z formularza?

Złe zabezpieczenie formularza jest winą programisty. Równie dobrze programista mógł źle zabezpieczyć coś innego.

[Adi32]

Bez żartów. A jak już to do działu "Humor".

Mógłbyś to jakoś rozwinąć? Ja do tej pory używając Doctrine 1.2 i PDO byłem pewien, że jestem "bezpieczny".

[Spawnm]

Ale sql injection to nie jedyny typ ataków na strony www. PDO nie uchroni cię przed session fixation itd.

[Adi32]

Ale sql injection to nie jedyny typ ataków na strony www. PDO nie uchroni cię przed session fixation itd.

Ale przed 'session fixation' nie trzeba zabezpieczać wszystkich formularzy i połączeń z bazą. Ponadto wystarczy uważać gdzie się wchodzi będąc zalogowanym lub po prostu zabezpieczyć się kodem:

[PHP] pobierz, plaintext 
 
<?php
session_start();
 
if (!isset($_SESSION['inicjuj'])) {
    session_regenerate_id();
    $_SESSION['inicjuj'] = true;
    $_SESSION['ip'] = $_SERVER['REMOTE_ADDR'];
}
 
if($_SESSION['ip'] != $_SERVER['REMOTE_ADDR']) {
    die('Proba przejecia sesji udaremniona!');      
}
?>
[PHP] pobierz, plaintext 

edit: ucięło mi część posta.

Ten post edytował Adi32 17.09.2012, 14:52:44

[erix]

I co to jest?

[scanner]

Niebezpiecznik tego nie złamie

Ponadto wystarczy uważać gdzie się wchodzi będąc zalogowanym

Prezes unimila byłby z ciebie dumny.

[Niktoś]

Ale przed 'session fixation' nie trzeba zabezpieczać wszystkich formularzy i połączeń z bazą. Ponadto wystarczy uważać gdzie się wchodzi będąc zalogowanym lub po prostu zabezpieczyć się kodem:

A co jeśli mechanizm sesji zapisywany jest do bazy danych?PDO nie uchroni przed atakami na sesje, należałoby się wtedy dodatkowo zabezpieczyć.

[peter13135]

Bez żartów. A jak już to do działu "Humor".

Miałem oczywiście na myśli formularze. Nie wiem czy nie rozumiesz kontekstu, czy tylko udajesz tylko po to, by pochwalić się jaki jesteś mądry.

Ten post edytował peter13135 17.09.2012, 16:02:46

[!*!]

Miałem oczywiście na myśli formularze. Nie wiem czy nie rozumiesz kontekstu, czy tylko udajesz tylko po to, by pochwalić się jaki jesteś mądry.

Gdzie tam, 12 lat mam, więc nie muszę. Z kontekstu wynika że napisałeś głupotę, zarówno odnośnie formularzy jak i PDO, ale nie martw się, kiedyś Ci się uda i każdy będzie wiedział o czym myślisz, zanim pomyślisz. (ups)

Adi32 - to że ktoś, kiedyś napisał iż PDO z bindowaniem jest bezpieczne, chroni przed sql injection. Nie znaczy że jest to zabezpieczenie kompletne, we wszystkim i już nikt, niczym nie zrobi Ci kuku.

Ten post edytował !*! 17.09.2012, 16:43:21

[Niktoś]

Adi32 - to że ktoś, kiedyś napisał iż PDO z bindowaniem jest bezpieczne, chroni przed sql injection.

Chroni tylko i wyłącznie przed tym rodzajem ataku. Do ochrony przed xss -dobra walidacja pól tekstowych, do session fixation protokoły: ssl, IPsec, krótki czas życia sesji(lub regeneracja id sesji), flagi httponly na ciasteczka również itp.To chyba takie podstawowe metody.

[michat34]

widze ze ostra dyskusja sie zaczela xd ale moze znajdziecie czas, przypomniało mi sie 3 pytanie:

czesto w jakis programach, aplikacjach, stronach na stopce jest napis v.x.x, np. v.1.12 czy v.2.0.0.1, jak to sie nazywa? dokumentacja, historia zmian? kiedys pamietałem ale gdzies mi to umknęło. i jakie sa zasady nadawania kolejnych 'wersji'? sa jakies odgorne czy jak sie komus podoba? i czemu to słuzy?

Ten post edytował michat34 17.09.2012, 17:39:38

[Spawnm]

Wersja produktu.

[Crozin]

To się nazywa... wersja.

Co do numerowanie wersji, jest kilka popularnych konwencji, ale jedną z powszechniejszych, i w moim zdaniu najlepszych jest trójliczbowa z ewentualnym dopiskiem n/t wydania. Przykładowo: 2.0.1-ALPHA, gdzie pierwsza liczba to główne wydanie, druga to "podwydanie", a ostatnia to po prostu numer kolejnego wydania w obrębie serii. Dopiski -SNAPSHOT, -ALPHA, -BETA, -RC1..n, -RELEASE wydają się być oczywiste.

[Evinek]

http://php.pl/Wortal/Artykuly/Pomysly-pora...wanie-aplikacji
Jest nawet artykuł o tym. ;]

[Damonsson]

widze ze ostra dyskusja sie zaczela ale moze znajdziecie czas, przypomniało mi sie 3 pytanie:

czesto w jakis programach, aplikacjach, stronach na stopce jest napis v.x.x, np. v.1.12 czy v.2.0.0.1, jak to sie nazywa? dokumentacja, historia zmian? kiedys pamietałem ale gdzies mi to umknęło. i jakie sa zasady nadawania kolejnych 'wersji'? sa jakies odgorne czy jak sie komus podoba? i czemu to słuzy?

ChangeLog?