katalog stron - Forum PHP.pl

2 Stron

< 1 2

katalog stron, prośba o opinie

izabela Zobacz profil	14.04.2010, 13:25:31 Post #21
Grupa: Zarejestrowani Postów: 14 Pomógł: 0 Dołączył: 5.04.2010 Ostrzeżenie: (0%)	aktualnie jest już ok, moje zmiany raczej tego nie naprawiły ale w między czasie pisałam z dostawcą hostingu i odpisali, że jest już OK. Jak napiszą co zmienili to się pochwalę.

nospor Zobacz profil	14.04.2010, 13:27:20 Post #22
Grupa: Moderatorzy Postów: 36 561 Pomógł: 6315 Dołączył: 27.12.2004	Cytat moje zmiany raczej tego nie naprawiły ale w między czasie pisałam z dostawcą hostingu i odpisali, że jest już OK. Jak napiszą co zmienili to się pochwalę. hehe, to pewnie i oni napsuli (IMG:style_emoticons/default/smile.gif)

izabela Zobacz profil	14.04.2010, 13:51:30 Post #23
Grupa: Zarejestrowani Postów: 14 Pomógł: 0 Dołączył: 5.04.2010 Ostrzeżenie: (0%)	do pliku index.php dopisali: Kod mysql_query("SET NAMES 'latin1'") Ten post edytował izabela 14.04.2010, 13:51:47

nospor Zobacz profil	14.04.2010, 13:52:47 Post #24
Grupa: Moderatorzy Postów: 36 561 Pomógł: 6315 Dołączył: 27.12.2004	tez w pierwszej kolejnosci o tym pomyslalem, ale nie proponowalem tego, gdyż skoro rano działało a teraz nagle nie... (IMG:style_emoticons/default/winksmiley.jpg) To nadal baze masz w kodowaniu utf8? i tabele tez? a dane w nich zapisujesz w iso?

izabela Zobacz profil	14.04.2010, 15:40:05 Post #25
Grupa: Zarejestrowani Postów: 14 Pomógł: 0 Dołączył: 5.04.2010 Ostrzeżenie: (0%)	tak, nadal, a dokładnie to dla tabeli mam utf-8 a dla całej bazy: latin2_general_ci

nospor Zobacz profil	15.04.2010, 07:48:45 Post #26
Grupa: Moderatorzy Postów: 36 561 Pomógł: 6315 Dołączył: 27.12.2004	No to jesli w tabeli trzymasz dane w iso (latin2) to dobrze by było by i tabela była w latin2 a nie w utf8. Jesli masz mozliwosc to przekonwertuj to.

izabela Zobacz profil	15.04.2010, 11:30:59 Post #27
Grupa: Zarejestrowani Postów: 14 Pomógł: 0 Dołączył: 5.04.2010 Ostrzeżenie: (0%)	zmienione, teraz walczę z SQL Injection. dodałam do akcji POST. Kod $site_description = mysql_escape_string($_POST['site_description']); dodaje znak / natomiast nadal Twój skrypt wyświetla okno o treści 2 ;/

nospor Zobacz profil	15.04.2010, 11:34:04 Post #28
Grupa: Moderatorzy Postów: 36 561 Pomógł: 6315 Dołączył: 27.12.2004	Cytat dodaje znak / natomiast nadal Twój skrypt wyświetla okno o treści 2 ;/ A skad wiesz ze to moj skrypt? (IMG:style_emoticons/default/winksmiley.jpg) akurat to okienko z 2 to nie jest atak sqlinjection tylko XSS. Zapewne dlatego twoje zabezpieczenie na niego nie dziala (IMG:style_emoticons/default/winksmiley.jpg)

izabela Zobacz profil	15.04.2010, 12:50:43 Post #29
Grupa: Zarejestrowani Postów: 14 Pomógł: 0 Dołączył: 5.04.2010 Ostrzeżenie: (0%)	Cytat(nospor @ 14.04.2010, 10:10:23 ) 1) podatne na atak SQLInjection 2) podatne na atak XSS 1) możesz podać przykład? 2) rozumiem, że m.in komunikat o treści 2

nospor Zobacz profil	15.04.2010, 12:52:34 Post #30
Grupa: Moderatorzy Postów: 36 561 Pomógł: 6315 Dołączył: 27.12.2004	ad1) http://www.kataloq.pl/category-or%201=1.html ad2) tak, między innymi.

izabela Zobacz profil	15.04.2010, 13:05:36 Post #31
Grupa: Zarejestrowani Postów: 14 Pomógł: 0 Dołączył: 5.04.2010 Ostrzeżenie: (0%)	Cytat(nospor @ 15.04.2010, 13:52:34 ) ad1) http://www.kataloq.pl/category-or%201=1.html Przeanalizujmy: 1. stronę tak otrzymałeś poprzez wpisanie parametrów do linku czy poprzez któryś formularz? 2. błędem jest dodatkowo to, że widać strukturę plików ;/ 3. innych zmian nie widzę.

nospor Zobacz profil	15.04.2010, 13:09:46 Post #32
Grupa: Moderatorzy Postów: 36 561 Pomógł: 6315 Dołączył: 27.12.2004	ad1) no tak jak widzisz. podalem taki url i twoje zapytanie to przyjelo i sie wysypalo - nie powinno. Jest to potencjalnie niebezpieczne ad2) tak ad3) zgadza się. Nie jestem hakerem. Moim celem nie jest popsucie ci czegos w bazie a jedynie zwrócenie uwagi na błąd (IMG:style_emoticons/default/smile.gif) Zapewne nawet nie byłbym w stanie ci nic napsuc poprzez akurat tę lukę w tym miejscu. Nie mniej jednak luka jest i dobrze by było na przyszłość byś niedopuszczała do ich powstawania.

Daiquiri Zobacz profil	15.04.2010, 16:44:32 Post #33
Grupa: Administratorzy Postów: 1 552 Pomógł: 211 Dołączył: 7.07.2009 Skąd: NJ	Cytat(izabela @ 15.04.2010, 14:05:36 ) 1. stronę tak otrzymałeś poprzez wpisanie parametrów do linku czy poprzez któryś formularz? Nie możesz liczyć na to, że Twoja strona będzie oglądana tylko w takiej postaci w jakiej zostanie "wygenerowana". Zawsze znajdzie się ktoś, kto spróbuje sprawdzić "a co się stanie jeżeli..." i z palca wpisze jakieś pierdoły do np. paska adresu i zobaczy, że strony mogą być numerowane nie tylko za pomocą liczba całkowitych ;-). Niestety zazwyczaj nie kończy się to na "zabawie" z numeracją. Co do wyglądu: może zerknij na to, jak wygląda Twój baner w kontekście np. reklamy N-ki - trochę dziwnie nieprawdaż?

2 Stron

< 1 2

2 Użytkowników czyta ten temat (2 Gości i 0 Anonimowych użytkowników)

0 Zarejestrowanych:

Tryb wyświetlania: Standardowy · Przełącz na: Linearny+ · Przełącz na: Drzewo

Aktualny czas: 10.12.2025 - 08:59

Hosting zapewnia