cookies a bezpieczeństwo BD

cookies a bezpieczeństwo BD, zapytania do bazy z cookiesów

Darti Zobacz profil	17.03.2005, 01:31:24 Post #1
Grupa: Zarejestrowani Postów: 1 076 Pomógł: 62 Dołączył: 6.03.2005 Skąd: Wroc Ostrzeżenie: (0%)	Tak sobie pomyślałem, że w sumie tak się boję tablic $_GET i $_POST a nie pomyślałem nigdy o cookiesach! Czy istnieje realne zagrożenie dla bazy jak zrobię?: [PHP] pobierz, plaintext <?php mysql_query(\"SELECT pass FROM users WHERE \".$_COOKIE['login']); ?> [PHP] pobierz, plaintext

Odpowiedzi (1 - 6)

Marusz Zobacz profil	17.03.2005, 02:22:05 Post #2
Grupa: Zarejestrowani Postów: 191 Pomógł: 0 Dołączył: 16.05.2003 Skąd: POLAND Ostrzeżenie: (0%)	Abstrachujac od samego uzycia kukizow w ten sposob (bo jakos srednio widze zastosowanie o bezpieczenstwie nie wspomne). Polecam zmienic ciut zapytanie, na: [PHP] pobierz, plaintext <?php $sql = \"SELECT `pass` FROM `users` WHERE `cos` = \". mysql_escape_string($zmienna) .\"\"; ?> [PHP] pobierz, plaintext Wierz mi, bedziesz bezpieczniejszy...

xarr Zobacz profil	17.03.2005, 07:55:26 Post #3
Grupa: Zarejestrowani Postów: 105 Pomógł: 0 Dołączył: 5.12.2004 Ostrzeżenie: (0%)	Hashuj md5() dane zapisywane w cookiesach i jak post wczesniej kolega wspomnial przed porownaniem uzyj mysql_escape_string() ewentualnie mysql_real_escape_string() wtedy zagrozenia dla bazy przynajmniej w kwestii tego zapytania nie uswiadczysz. Ogolnie jednak poszukaj na tym forum info o logowaniu, sesjach i ciastkach. Dowiesz sie napewno wystarczajco duzo by byc juz pewnym co zastosowac (IMG:http://forum.php.pl/style_emoticons/default/smile.gif)

dr_bonzo Zobacz profil	17.03.2005, 09:00:59 Post #4
Grupa: Przyjaciele php.pl Postów: 5 724 Pomógł: 259 Dołączył: 13.04.2004 Skąd: N/A Ostrzeżenie: (0%)	Cookiesy mozna wysylac DOWOLNE (tak jak dane get i postaz) -- decyduje o tym user, np w operze mozsz wyedytowac wartosc cookiesa, albo wyslac telnetem.

phpbybastek Zobacz profil	17.03.2005, 09:19:40 Post #5
Grupa: Zarejestrowani Postów: 15 Pomógł: 0 Dołączył: 9.10.2004 Skąd: Wałcz Ostrzeżenie: (0%)	[PHP] pobierz, plaintext <?php function filtruj_sql($input) { $reg = \"(delete)\|(update)\|(union)\|(insert)\"; return(eregi_replace($reg, \"\", $input)); } $zmienna = $_COOKIE['zmienna']; $zmienna = filtruj_sql(mysql_escape_string($zmienna)); $sql = \"SELECT `pass` FROM users WHERE cos = '$zmienna'\"; ?> [PHP] pobierz, plaintext dla dopełnienia tematu

Kocurro Zobacz profil	17.03.2005, 13:31:31 Post #6
Grupa: Zarejestrowani Postów: 461 Pomógł: 32 Dołączył: 17.09.2003 Skąd: Łódź Ostrzeżenie: (0%)	powiem Ci tyle - był sobie pewien skrypt (CC) na którym opeirały sie wszystkie firmy GPTR (zarabianie poprzez klikanie w maile i czytanie reklam)...i pewnego dnia pojawił się ktoś kto zauważył, że cookies można zmienić jak się podoba - efekt tego był taki, że wiele osób straciło 'dorobek życia' w tych firmach a koleś ma teraz grubą kasę... Dam Ci dobrą radę - jeśli chcesz cokolwiek przechowywać w ciasteczkach to tylko identyfikator sesji lub pseudo sesji (pseudo sesja - taka sesja, która trwa nieskończenie długo, używana do przechowywania informacji o autolofginach itp.) inaczej sam sobie napytasz biedy. Bo np. czasami wystarczy zmienić trochę w cookie by już uzyskać dostęp na cudze konto itp. etc. itd.

Darti Zobacz profil	17.03.2005, 13:31:54 Post #7
Grupa: Zarejestrowani Postów: 1 076 Pomógł: 62 Dołączył: 6.03.2005 Skąd: Wroc Ostrzeżenie: (0%)	Dzięki (IMG:http://forum.php.pl/style_emoticons/default/smile.gif) będę stosował mysql_real_escape_string() tak jak mi radzicie (dla POST i GET to robilem ale dla cookies nie) ps - Prometeus ja tak robię - w cookie mam tylko zapisany identyfikator sesji a reszte wyciagam z bazy Ten post edytował Darti 17.03.2005, 14:04:02

2 Użytkowników czyta ten temat (2 Gości i 0 Anonimowych użytkowników)

0 Zarejestrowanych:

Tryb wyświetlania: Przełącz na: Standardowy · Linearny+ · Przełącz na: Drzewo

Aktualny czas: 21.12.2025 - 18:25

Hosting zapewnia

Forum PHP.pl