Registrace nového uživatele     Návod     Kluby     Archív  Lopuchu     Lopuch.cz  

Já Vánoce juchuchu
oslavím na Lopuchu!

Lopuch.cz
Jméno:
Heslo:
Podpora LCD:
 
Archiv klubu PHP [ŽP: neomezená] (kategorie Programování) moderuje makovec.
Diskuse o vybornem skriptovacim jazyku php. Dulezite odkazy, pred polozenim dotazu zkuste hledat odpoved zde:
  1. www.php.net - domovská stránka PHP
  2. www.kosek.cz - spousta tutorialu pro PHP v češtině
  Nastavení klubu     Nastavení práv     Homepage     Anketa     Přítomní     Oblíbené     Lopuch     Kategorie  
autor: 
text: 
vyplnit a 
Help
   
[ 874 ] <Novější  <<<Nejnovější  Nejstarší>>>  Starší>  
noire noire svět není jen černobílý 6.11.2004 22:46  542
waco...a udelej rozpoznani ze kod_nebo_nazevtrika se zmenil proti predchozimu. Na shodu pridas do pole pro select dalsi variantu a na zmenu vyblejes spolecny nazev a select z pole nactenych variant a vymazes pole kam si pises ty varianty (barva,velikost)...
nebyl by nejaky komplexnejsi prikladecek, mam obavu, ze nejsem moc kovanej phpckar
al3x 6.11.2004 22:05  541
Heheh.
eso 6.11.2004 22:04  540
al3xvim, mel jsem pochybnou cest byt mezi temi 20, jejichz posta byla zverejnena.

Nicmene mnohem vetsi bezpecnostni problem byl, ze hesla byla v databazi jako plain text a admini si hesla na FTP psali v lopusi poste.
al3x 6.11.2004 22:00  539
esoVelice podobne byl lopuch jednou hacknut.
al3x 6.11.2004 21:59  538
wacoMyslel jsem to jinak.

Proste je treba chranit se proti vsem moznym vstupum - to je treba ten opakovanej refresh, infect sql, etc..

Ale stale predpokladam, ze jedu po chraneny lince. Kdybych chtel zacit psat script s vedomim, ze linku kdokoliv posloucha, tak krom https nemuzu udelat nic takrka nic.
eso 6.11.2004 21:49  537
wacoHm, přemýšlel jsem o tom a máš pravdu, že by to šlo zneužít.

Příklad - diskuzni server.

1. Zjistíš IP adresu připojeného (na to stačí obrázek do pošty)
2. zjistíš session identifikátor (třeba podvrženým javascriptem, pokud to nedostatečné zabezpečení web aplikace umožní)
3. v tuhle chvíli můžeš poslat falešný http request, který změní například danému uživateli heslo na tvoje. Odpověď serveru ti nedorazí, ale to je ti jedno - už máš plný přístup k jeho účtu.
waco 6.11.2004 21:27  536
esoAni já to neberu jako spor. Je pravda že odpověď se ztratí. Ale útočníka odpověď nezajímá. Z provozu už ví co se stane a jak.
waco 6.11.2004 21:25  535
AL3X Počkej, to mi přijde spíš naopak, ne? Předpokládat že existuje nebezpečí a dělat obvyklá preventivní opatření. Ono třeba o script či SQL injektáž se klidně může pokusit i nějaký vtipálek na druhé straně https. A proti duplikovanému update/delete při refresh či tlačítkách zpět/vpřed taky zabezpečený kanál neochrání.
eso 6.11.2004 21:17  534
wacoNo, já se nepřu - chci o tom vědět víc.

Pokud podvrhneš v paketech zdrojovou adresu, nepošle server odpověď právě na tu adresu, tedy jinam, než kde právě jsi?
al3x 6.11.2004 19:16  533
Jakmile nekde posloucha po ceste, tak se to da dost tezko zabezpecit stopro. Jde aspon o to, zabezpecit to tak, ze predpokladas bezpecnou cestu.
Jinak samozrejme https.
waco 6.11.2004 16:19  532
esohttp je původně bezstavový a bezrelační protokol. Session mechanizmus je jen berlička. K nabourání se dovnitř stačí zachycení komunikace a umět sám složit paket, dá se fakovat i arp response, ... a na to vše se použije třeba i PDA nebo jednočip. Takže je třeba prověřovat a nedůvěřovat. :-)
kdokoliv Kdokoliv Nevidím důvod dělat cokoliv bezdůvodně. - http://kkl2401.wz.cz 6.11.2004 12:56  531
DOMJe tu nekdo, kdo si v PHP hral s tim novym objektovym DOMem (nevim, jestli je uz ve ctyrce, nebo az v petce)? Mam trochu pokrocilejsi dotaz, ale nema smysl to tu resit, pokud to nikdo v zivote nevidel a aby se do toho nekdo ponoroval jenom kvuli mne, to je taky blbost, to uz si to nejak vyresim sam.
kdokoliv Kdokoliv Nevidím důvod dělat cokoliv bezdůvodně. - http://kkl2401.wz.cz 6.11.2004 12:55  530
Ad datumMne osobne by prislo mit to v databazi jako timestamp (teda predpokladam, ze mysql neco takoveho umi) a pak na to zavolat date("format", ts);. Ale i v pripade, ze to je tak, jak to je, tak bych pouzil ten zminovany explode na rozsekani, nacez bych volal date("format", mktime(bla, bla, bla, …));. To mi pripada takove nejcistsi (cimz netvrdim, ze ostatni reseni nejsou funkcni).
pepak pepak - Pepak.net 6.11.2004 12:20  529
Anonymni proxy servery, napriklad.
eso 6.11.2004 11:31  528
WACO"(kontrola IP adresy je přece jen podveditelná)"

jak konkrétně?
[ 874 ] <Novější  <<<Nejnovější  Nejstarší>>>  Starší>  

(c) 2001-2011 Lopuch.cz   
Kontakt