firany-sklep.pl - Własny CMS sklepu internetowego Opcje

[joordan]

Skrypt pisany w dużym pośpiechu, dla rodzinnej działalności.

Czekam na oceny.

firany-sklep.pl

Ten post edytował joordan 23.05.2013, 20:20:58

[pyro]

Jakby to były lata 90-te to byłoby ok.

[Spawnm]

Baner paskudy. Menu się sypie na ff/ubuntu
Formularz rejestracji ma dziwne filtrowanie. Wpiszcie sobie ">lol

[joordan]

Baner paskudy. Menu się sypie na ff/ubuntu
Formularz rejestracji ma dziwne filtrowanie. Wpiszcie sobie ">lol

Dzięki że napisałeś zaraz tam dam striptag

Wiem że baner paskudny ale musiało być te logo siła wyższa

sypie ci się górne menu...?

Jakby to były lata 90-te to byłoby ok.

Rozwiń myśl prostota nie zawsze musi być zła

[alex011251]

Striptag...

Ogolnie masz wszedzie takie bledy ze gdybym widzial sens to bym ci w 5min cala stronke skasowal. Dziura na dziurze

[joordan]

Striptag...

Ogolnie masz wszedzie takie bledy ze gdybym widzial sens to bym ci w 5min cala stronke skasowal. Dziura na dziurze

Pisz na priv co i gdzie. Ja nie widzę tych dziur...



Ten post edytował joordan 24.05.2013, 16:57:45

[usb2.0]

no nawet 404 nie ma? ; {

[joordan]

no nawet 404 nie ma? ; {

Heh ciekawe jak się tam znalazłeś

[alex011251]

PS:
Jak mi piszesz PW to nie zadawaj pytan wyrwanych z kontekstu ws tylu "Choci ci o sesje? Bo skad mam wiedziec skad po co i w jakim temacie piszesz.

Wydaje mi się że lejesz wodę i nie masz zbytnio pojęcia o czym mówisz.. Bo gdyby tak nie było pisał byś konkrety....

Kolejny z zerem Pokory



Nie powinienes tworzyc filtra nie pozwalaj na. Tylko lepiej zastosowac pozwol na ;]

Bo w tym przypadku zabraniasz na wstawianie liter ale niw filtrujesz wszystkiego

http://firany-sklep.pl/index.php?so=1&...p;kat=5&s=0

Uzyj htmlspecialchars i addshlashes

Strona podatna na Sql.injection. Wiec jak najbardziej bym mogl sie wlamac



dodam ze za testy penetracyjne sie placi

Ten post edytował alex011251 24.05.2013, 09:12:41

[!*!]

Warning: mysql_fetch_array() expects parameter 1 to be resource, boolean given in /home/firanysk/domains/firany-sklep.pl/public_html/index.php on line 820

Że też ludzie uwielbiają zdradzać swój login do panelu. To kto teraz odgadnie hasło? Czas start.

Masz coś nie tak z linkami http://firany-sklep.pl/nasza_firma_sprzeda..._do_chin-6.html

[joordan]

Człowiek uczy się na błędach

Nie odczytałem wiadomości do końca ograniczenie ilości znaków w rekordzie tablicy sql. Kto był taki mądry...?

[klocu]

Po wywołaniu takiego adresu: http://firany-sklep.pl/nasza_firma_sprzeda..._do_chin-9.html
Dostałem to: brak strony lub pruba włamania.

Może coś innego, albo chociaż poprawnego pod kątem ortografii?
A teraz coś większość podstron sypie 404.

--
A pod kątem wyglądu:
- brzydki formularz rejestracji
- w kontakcie brak mapki albo jakiegoś innego zdjęcia, które obrazuje lokalizację
- regulamin - tzn jest czy go nie ma, bo obecne zapisy w zasadzie to niczego nie precyzują
- treść, a w zasadzie jej brak

Ten post edytował klocu 24.05.2013, 10:48:53

[alex011251]

Człowiek uczy się na błędach

Nie odczytałem wiadomości do końca ograniczenie ilości znaków w rekordzie tablicy sql. Kto był taki mądry...?

A co do ogolnie sesji o ktorej wspomnialales. Nie mam czasu sie teraz w tymgrzebac. Ale uprzedzajc nie wiem czy dales czy nie . Ale jak by co daj session regenerate i time

@up

A wlasnie. Podsumowujac kolege wyzej.
A. Ma sie to podobac odwiedzajacym a nie tobie. Bo ty mozesz miec gust ustosunkowany jako 1% .
B. Jezeli klient juz tak chcial jego sprawa. Chyba ze to twoj pomysl

Ten post edytował alex011251 24.05.2013, 10:51:11

[Japszczur]

Wywala error 404 więc chyba już skończona ocena.

[!*!]

Skasowaliście mu stronę? Łobuzy.

[joordan]

Jak to możliwe że jest podatna na sql injection skoro w każdym wejściu do sql jest "mysql_real_escape_string"

[!*!]

Jak to możliwe że jest podatna na sql injection skoro w każdym wejściu do sql jest "mysql_real_escape_string"

Temat: Walidacja danych

[joordan]

Skasowaliście mu stronę? Łobuzy.

Nie, zmieniłem adres

Zrobiłem kopie sql i tp na wszelki wypadek

Macie bawcie się


Może mnie ktoś uświadomić

Jak ktoś zmienił wpis w sql

Przecież to jest niemożliwe

Gdy ja próbuję modyfikować zapytanie przez zmienne post get nic się nie dzieje...

Ten post edytował joordan 24.05.2013, 11:11:28

[alex011251]

hahhaha. Jak nie mozliwe? Zawsze powtarzam ze programista a osoba od pentestow topokrewne tematy ale nie te same ;]
Polecam taka moja oto klase:

[PHP] pobierz, plaintext 
<?php
class security {
	function sql($value){
		if(get_magic_quotes_gpc()) {
			$value = mysql_real_escape_string(stripslashes($value));
		} else {
			$value = mysql_real_escape_string($value);
		}
		return $value;
	}
 
	function html($value) {
		$value = htmlspecialchars($value);
		return $value;
	}
 
	function addsql($value) {
		$value = addslashes($value);
		return $value;
	}
 
	function strip($value) {
		$value = stripslashes($value);
		return $value;
	}
 
	function all($value) {
		$value = addslashes(htmlspecialchars($value));
		return $value;
	}
}
?>
[PHP] pobierz, plaintext 

Chroni w 100% przed Sql.injection i Xss

tworzysz normalnie security.php

includujesz w pliku wywolujesz :
przykladowo jak u mnie:

[PHP] pobierz, plaintext 
$dane_login = $security->all($_POST['email']);
[PHP] pobierz, plaintext 

Ogolnie nie wiem jak to piszesz ale cms najlepiej obiektowo. Bo wtedy masz pelna kontrole a strukturalnie sie pogubisz.

jak chcesz rady odnosnie jakie moga byc ataki badz jak sie dobrze przed roznymi zabezpieczyc to na pw przeslij mi gg. Bo na Sql i XSS sie nie konczy )





///. H

Ten post edytował alex011251 24.05.2013, 12:07:27

[Damonsson]

Rozumiem, że powyższy post jest ironią?