Registrace nového uživatele
Návod
Kluby
Archív Lopuchu
Lopuch.cz
Zelený je lopuch,
fotbal to je hra...
Lopuch.cz
Jméno:
Heslo:
Podpora LCD:
Archiv klubu
PHP
[ŽP:
neomezená
] (kategorie
Programování
) moderuje
makovec
.
Diskuse o vybornem skriptovacim jazyku php. Dulezite odkazy, pred polozenim dotazu zkuste hledat odpoved zde:
www.php.net
- domovská stránka PHP
www.kosek.cz
- spousta tutorialu pro PHP v češtině
Nastavení klubu
Nastavení práv
Homepage
Anketa
Přítomní
Oblíbené
Lopuch
Kategorie
autor:
text:
vyplnit a
Help
[ 874 ]
<Novější
<<<Nejnovější
Nejstarší>>>
Starší>
noire
svět není jen černobílý
6.11.2004 22:46
542
waco
...a udelej rozpoznani ze kod_nebo_nazevtrika se zmenil proti predchozimu. Na shodu pridas do pole pro select dalsi variantu a na zmenu vyblejes spolecny nazev a select z pole nactenych variant a vymazes pole kam si pises ty varianty (barva,velikost)...
nebyl by nejaky komplexnejsi prikladecek, mam obavu, ze nejsem moc kovanej phpckar
6.11.2004 22:05
541
Heheh.
6.11.2004 22:04
540
al3x
vim, mel jsem pochybnou cest byt mezi temi 20, jejichz posta byla zverejnena.
Nicmene mnohem vetsi bezpecnostni problem byl, ze hesla byla v databazi jako plain text a admini si hesla na FTP psali v lopusi poste.
6.11.2004 22:00
539
eso
Velice podobne byl lopuch jednou hacknut.
6.11.2004 21:59
538
waco
Myslel jsem to jinak.
Proste je treba chranit se proti vsem moznym vstupum - to je treba ten opakovanej refresh, infect sql, etc..
Ale stale predpokladam, ze jedu po chraneny lince. Kdybych chtel zacit psat script s vedomim, ze linku kdokoliv posloucha, tak krom https nemuzu udelat nic takrka nic.
6.11.2004 21:49
537
waco
Hm, přemýšlel jsem o tom a máš pravdu, že by to šlo zneužít.
Příklad - diskuzni server.
1. Zjistíš IP adresu připojeného (na to stačí obrázek do pošty)
2. zjistíš session identifikátor (třeba podvrženým javascriptem, pokud to nedostatečné zabezpečení web aplikace umožní)
3. v tuhle chvíli můžeš poslat falešný http request, který změní například danému uživateli heslo na tvoje. Odpověď serveru ti nedorazí, ale to je ti jedno - už máš plný přístup k jeho účtu.
6.11.2004 21:27
536
eso
Ani já to neberu jako spor. Je pravda že odpověď se ztratí. Ale útočníka odpověď nezajímá. Z provozu už ví co se stane a jak.
6.11.2004 21:25
535
AL3X
Počkej, to mi přijde spíš naopak, ne? Předpokládat že existuje nebezpečí a dělat obvyklá preventivní opatření. Ono třeba o script či SQL injektáž se klidně může pokusit i nějaký vtipálek na druhé straně https. A proti duplikovanému update/delete při refresh či tlačítkách zpět/vpřed taky zabezpečený kanál neochrání.
6.11.2004 21:17
534
waco
No, já se nepřu - chci o tom vědět víc.
Pokud podvrhneš v paketech zdrojovou adresu, nepošle server odpověď právě na tu adresu, tedy jinam, než kde právě jsi?
6.11.2004 19:16
533
Jakmile nekde posloucha po ceste, tak se to da dost tezko zabezpecit stopro. Jde aspon o to, zabezpecit to tak, ze predpokladas bezpecnou cestu.
Jinak samozrejme https.
6.11.2004 16:19
532
eso
http je původně bezstavový a bezrelační protokol. Session mechanizmus je jen berlička. K nabourání se dovnitř stačí zachycení komunikace a umět sám složit paket, dá se fakovat i arp response, ... a na to vše se použije třeba i PDA nebo jednočip. Takže je třeba prověřovat a nedůvěřovat. :-)
Kdokoliv
Nevidím důvod dělat cokoliv bezdůvodně. -
http://kkl2401.wz.cz
6.11.2004 12:56
531
DOM
Je tu nekdo, kdo si v PHP hral s tim novym objektovym DOMem (nevim, jestli je uz ve ctyrce, nebo az v petce)? Mam trochu pokrocilejsi dotaz, ale nema smysl to tu resit, pokud to nikdo v zivote nevidel a aby se do toho nekdo ponoroval jenom kvuli mne, to je taky blbost, to uz si to nejak vyresim sam.
Kdokoliv
Nevidím důvod dělat cokoliv bezdůvodně. -
http://kkl2401.wz.cz
6.11.2004 12:55
530
Ad datum
Mne osobne by prislo mit to v databazi jako timestamp (teda predpokladam, ze mysql neco takoveho umi) a pak na to zavolat date("format", ts);. Ale i v pripade, ze to je tak, jak to je, tak bych pouzil ten zminovany explode na rozsekani, nacez bych volal date("format", mktime(bla, bla, bla, …));. To mi pripada takove nejcistsi (cimz netvrdim, ze ostatni reseni nejsou funkcni).
pepak
-
Pepak.net
6.11.2004 12:20
529
Anonymni proxy servery, napriklad.
6.11.2004 11:31
528
WACO
"(kontrola IP adresy je přece jen podveditelná)"
jak konkrétně?
[ 874 ]
<Novější
<<<Nejnovější
Nejstarší>>>
Starší>
označené
neoznačené
rozsah
(c) 2001-2011 Lopuch.cz
Kontakt