[php i mysql] bezpieczeństwo - czy to już wystarcz Opcje

[herbatniczek]

witam.

W moim serwisie używam:
-SSL
-ochrony przed SQL injenction - dając np. $query="select * from artykuly whereid=\"'.$_GET['id']."\"";
CZY WYSTARCZY ZAPYTANIE PRZEPUŚCIEĆ PRZEZ mysql_escape_string()
ALE ZAPYTANIA KIERUJE PRZEZ MYSQL_QUERY - więc, z tego co jest napisane w przyklejonym temacie, przez mysql_query nie jest możliwe wykonanie dwóch zapytaniań jednocześnie - więc czy warto, żebym tą ochronę stosował w tym przypadku i dlaczego?
-addslashes przy zapisie do bazy, w insertach
-stripslashes + htmlentites przy wyśw. wyników z bazy
-do wszystkich stron dostęp jest przez index.php?strona=... i po udanym zalogowaniu - sprawdzanie loginu i hasła w bazie, ustawiana jest zmienna sesyjna, która zawiera login.

Potencjalny włamywacz, jeśli utworzy swoją stronke i rozpocznie sesje w niej, albo jakoś przejmie ID sesji zalogowanego użytkownika i przedostanie się do mojego index.php np. przez Header, nie powinien się włamać, bo nie wie, że login przechowuję w sesji w zmiennej MC_login.

Czy coś jeszcze potrzebne mi do zabezpieczenia seriwsu?

Słyszałem coś o kontroli IP - czyli zapisie IP+ID sesji do bazy na tymczasowy okres, żeby zobaczyć, czy po zalogowaniu się użytkownika, nikt inny w tym samym czasie, kto np przejął hasło i login nie próbuje się zalogować. Ale przecież jak ktoś te dane przejmie, to może je wykorzystać kiedy chce.. Ponadto jeden użytkownik musi móc logować się z różnych IP. I przewiduję grupy użytkowników pod wspólnym IP.....

Poproszę teraz o przykłady luk w moim rozwiązaniu i podary co jeszcze wprowadzić, i może kawałki kodu, dzięki Pozdrawiam

Ten post edytował herbatniczek 12.03.2005, 14:45:43

[Ociu]

Czy coś jeszcze potrzebne mi do zabezpieczenia seriwsu?

Tak. Kilku goryli i jednostka gromu.


http://forum.php.pl/index.php?showtopic=23258

[herbatniczek]

a KONKRETNIE? bo jeśli chodzi o SQL_INJENCTION czytałem ten temat no i pisze ze uzywam mysql_query, wiec sie dwa zayptania nie wykonają, a jeśli w miejsce numerycznego id podam 'abc' to zapytanie sie po prostu nie wykona i będzie komunikat błedu - napisany przeze mnie.

[SongoQ]

@herbatniczek Czyli zamin zapytanie wykonujesz walidujesz wszystkie dane od usera?

[herbatniczek]

no żeby jakiekolwie zapytanie przeszło, musi być ustawiona zmienna MC_login - o której nikt nie wie. Zawiera ona login użytkownika i ustawiana jest w momencie logowania na moją stronę, w moim kodzie php.

[SongoQ]

No to ok, to wytłumacz mi jak zwracasz cos z bazy nie bedac zalogowanym?
Np cos takiego jak newsy czy inne rzeczy ktore nie wymagaja logowania?

[herbatniczek]

[PHP] pobierz, plaintext 
Oto index.php:
<?
 
ob_start();
session_start();
include_once(&#092;"funkcje.inc\"); 
 
if (isset($_POST['login']) && isset($_POST['password'])&&!empty($_POST['login'])&&!empty($_POST['password']))
{
 
	if (loguj($_POST['login'], $_POST['password'])==0)
	{
 
	  $HTTP_SESSION_VARS['S_login'] = $_POST['login'];
	  $klient_ID=mysql_fetch_array(mysql_query('select klient_ID from klient where klient_login=\"'.$_SESSION['S_login'].'\"'));
		   $_SESSION['klient_ID']=$klient_ID['klient_ID'];
	}
	else
	{
	 session_destroy();
	  header('Location: http://'.$server.'/'.$projekt.'/index.php?strona=logowanie_bad');
		   die();
	}
}
 
 
 
if (isset($_POST[strona])) {$strona=$_POST[strona];}
if (isset($_GET[strona]))   {$strona=$_GET[strona];}
if (!isset($strona)){$strona=&#092;"glowna\";}
if (isset($strona) && file_exists($strona.&#092;".inc\")){
  include(&#092;"baner.inc\");
  include(&#092;"lewa.inc\");
  include ($strona.&#092;".inc\");
  include(&#092;"prawa.inc\");
  }
else {
  include(&#092;"baner.inc\");
  include(&#092;"lewa.inc\");
  include (&#092;"brak_strony.inc\");
  include(&#092;"prawa.inc\");
  }
 
//  include(\"cennik.php\");
  ob_end_flush();
 
?>
[PHP] pobierz, plaintext 

i teraz, jeśli chce coś kupić, sprawdzana jest zmienna $HTTP_SESSION_VARS['S_login'] , czy istnieje i czy jest niepusta.
Włamywacz nie ma o tym pojęcia...
A jeśli jakoś udało mu się przechwycić login i hasło użytkownika, to żadno zabezpieczenie nie pomoże, bo użytkownicy powinni mieć prawo logowac się z różnych miejsc na świecie.