Navigacija
Lista poslednjih: 16, 32, 64, 128 poruka.

malo o sigurnosti....

[es] :: PHP :: malo o sigurnosti....

[ Pregleda: 3522 | Odgovora: 14 ] > FB > Twit

Postavi temu Odgovori

Autor

Pretraga teme: Traži
Markiranje Štampanje RSS

dado_k
Varaždin

Član broj: 57122
Poruke: 300
*.cmu.carnet.hr.

ICQ: 326865106
Sajt: radim baš novi sajt u ph..


Profil

icon malo o sigurnosti....28.12.2005. u 19:23 - pre 222 meseci
Dakle imam login skriptu al možda imam mali problem s njom jer password spremam u cookie kao md5 kriptirani to ne bi trebalo prdstavljat problem vjeroatno al što vi mislite? i nemojte spominjat sesije za njih znam al nemam tu mogućnost!
 
Odgovor na temu

noviKorisnik
Dejan Katašić
Novi Sad

Član broj: 13216
Poruke: 4533
*.ADSL.neobee.net.

Sajt: www.novikorisnik.net


+5 Profil

icon Re: malo o sigurnosti....28.12.2005. u 19:32 - pre 222 meseci
Meni je žao, ali zašto bi password uopšte išao u cookie, u bilo kom obliku?

Moraš malo da otkriješ karte, ako ne postoji mogućnost korištenja sesija - postoji li mogućnost rada s bazom ili fajl sistemom?
 
Odgovor na temu

dado_k
Varaždin

Član broj: 57122
Poruke: 300
*.cmu.carnet.hr.

ICQ: 326865106
Sajt: radim baš novi sajt u ph..


Profil

icon Re: malo o sigurnosti....28.12.2005. u 19:38 - pre 222 meseci
postoji i jedno i drugo! pa podaci za šifru su i spremljeni ubazi. razmišljao sam da generiram neki id pa da to spremam u cokie bi li to bilo bolje riješenje? ili da isključim cookie pa ip adrsu spremam u bazu al onda opet za trajni login bez cookie-a nemam ideje! što ti preporučaš?
 
Odgovor na temu

noviKorisnik
Dejan Katašić
Novi Sad

Član broj: 13216
Poruke: 4533
*.ADSL.neobee.net.

Sajt: www.novikorisnik.net


+5 Profil

icon Re: malo o sigurnosti....28.12.2005. u 19:51 - pre 222 meseci
Pa ako pogledaš kako sesije funkcionišu - isto to možeš da odradiš i simulacijom sesije, naravno malo više dodatnog pešačenja ... kad ti već provajder ne nudi sesije, napravi ih sam.
 
Odgovor na temu

broker

Član broj: 2415
Poruke: 8514
212.62.59.*



+11 Profil

icon Re: malo o sigurnosti....28.12.2005. u 19:55 - pre 222 meseci
Nije mi jasno kako ti nisu sesije na raspolaganju? nio svejedno, napravi jednu cookie variablu koju ces zvati session pa u nju smestaj ID sesije koji ces sam da dodelis korsiniku.

Taj ID cuvaj i u bazi (ili datoteci na serveru) gde ces upisivati sve sto se tice te sesije pa i to da li je korisnik ulogovan. Tako ces kod korisnika imati samo jednu cookie promenljivu koja nema nikakvu korsinu informaciju za korisnika a samim tim i siguran sistem.
 
Odgovor na temu

dado_k
Varaždin

Član broj: 57122
Poruke: 300
*.cmu.carnet.hr.

ICQ: 326865106
Sajt: radim baš novi sajt u ph..


Profil

icon Re: malo o sigurnosti....28.12.2005. u 20:02 - pre 222 meseci
da mislim da ću neštomtako i napraviti u cookie spremiti id a u bazi svi podaci
 
Odgovor na temu

noviKorisnik
Dejan Katašić
Novi Sad

Član broj: 13216
Poruke: 4533
*.ADSL.neobee.net.

Sajt: www.novikorisnik.net


+5 Profil

icon Re: malo o sigurnosti....28.12.2005. u 20:04 - pre 222 meseci
Baš tako... i ne zaboravi na serijalizaciju i deserijalizaciju podataka :-)
 
Odgovor na temu

The Sekula

Član broj: 53829
Poruke: 76
*.eunet.co.yu.

Sajt: www.sekulovic.net


Profil

icon Re: malo o sigurnosti....29.12.2005. u 08:02 - pre 222 meseci
... i ne zaboravi da id-evi ne smeju da idu redom 1,2,3... ili na bilo koji slican lako pogodljiv nacin...
 
Odgovor na temu

dado_k
Varaždin

Član broj: 57122
Poruke: 300
*.cmu.carnet.hr.

ICQ: 326865106
Sajt: radim baš novi sajt u ph..


Profil

icon Re: malo o sigurnosti....29.12.2005. u 13:14 - pre 222 meseci
$id=md5(uniqid(rand(), true));
ja koristim ovo mislim da je dosta dobro i u mysql bazi polje je podešeno na unique nego pitanje dal da taj id mjenjam ili kod registracije ga dodijelim i da je stalan zauvijek?
 
Odgovor na temu

bojan_bozovic

Član broj: 29028
Poruke: 3292
*.pat-pool.le.sbb.co.yu.

Sajt: angelstudio.org


+392 Profil

icon Re: malo o sigurnosti....29.12.2005. u 14:13 - pre 222 meseci
koristi crypt(md5('bezveze_text1'.$UID.'bezveze_tekst2')); a nema ko ce to moci da provali ;) zbog md5, sem ako ne mislis da opensource-ujes program, ili ga prodajes, kad je bolje svakako da koristis sesije. Ovaj workaround ce da ti ustedi petljanje sa bazom
 
Odgovor na temu

dado_k
Varaždin

Član broj: 57122
Poruke: 300
*.cmu.carnet.hr.

ICQ: 326865106
Sajt: radim baš novi sajt u ph..


Profil

icon Re: malo o sigurnosti....29.12.2005. u 15:35 - pre 222 meseci
ne ne, kod nećevidjet niko osim mene :D
u to sam siguran da je malo teže provalit budem skovao nešto slično
 
Odgovor na temu

JovanT
Jovan Turanjanin
Niš

Član broj: 35633
Poruke: 473
*.icentrala.net.

Jabber: Zeus@elitesecurity.org
ICQ: 263033789
Sajt: www.turanjanin.net


+17 Profil

icon Re: malo o sigurnosti....06.01.2006. u 15:16 - pre 221 meseci
Pošto već sam naslov teme govori o sigurnosti, bolje je da svoje pitanje postavim ovde nego da otvaram novu temu.

Zanima me koji je najbolji način za obradu promenljivih koje unosi sam korisnik pre upisa u bazu?
Nije znanje samo znati, već je znanje - znanje dati.

Piši ćirilicom! | Surfujte brže, sigurnije i lakše | Najveća niška online zajednica

 
Odgovor na temu

flylord
Ilić Aleksandar
Simplicity d.o.o.
Nis/Uzice

Član broj: 2954
Poruke: 3859
..nis1-nis.customer.sbb.co.yu.

ICQ: 4849714


+68 Profil

icon Re: malo o sigurnosti....06.01.2006. u 15:31 - pre 221 meseci
Ako su promenjive brojevi, onda koristi cast operatore
$x = 1;
$x = (int)$x;

$x = "187;'drop table test'";
$x = (int)$x;
$x = 187;

$y = 1.1;
$y = (float)$y;

Ako je string, koristi addslashes()
A ako postoji mogucnost da ima i nekih html tagova: imas htmlentities i addslashes, a mozes i da uklonis sve tagove sa strip_tags()

ako je promenjiva niz, moraces da obradis svaki parametar posebno, ili kroz call_back F-ju ili rucno, kroz petlju

a uvek mozes da radis i encoding pre upisa sa base64encode ili nesto slicno.

Pored SQL i Code Injection napada moze da bude i XSS napad, koji moze da se primeti tek prilikom citanja iz baze; Ubaci vam neko neki JS kod , i vi kad ga iscitate, i kad korisnik to otvori u browseru, taj JS kod se izvrsi. Zato je korisno koristiti htmlentities, makar prilikom prikazivanja texta, ili jednostavno ukloniti sve tagove.
 
Odgovor na temu

bojan_bozovic

Član broj: 29028
Poruke: 3292
*.pat-pool.le.sbb.co.yu.

Sajt: angelstudio.org


+392 Profil

icon Re: malo o sigurnosti....06.01.2006. u 15:53 - pre 221 meseci
Ili htmlspecialchars prilikom izlaza svega sto nisi sam pisao
addslashes pre upisa svakog stringa u bazu
stripslashes v gore
addslashes i stripslashes potpuno iskljucuju SQL injection problem
register_globals je samo debilu moglo da padne na pamet da implementira uopste
 
Odgovor na temu

JovanT
Jovan Turanjanin
Niš

Član broj: 35633
Poruke: 473
*.icentrala.net.

Jabber: Zeus@elitesecurity.org
ICQ: 263033789
Sajt: www.turanjanin.net


+17 Profil

icon Re: malo o sigurnosti....07.01.2006. u 17:47 - pre 221 meseci
Hvala na odgovorima. Postoji li još nešto o čemu bih trebao da povedem računa prilikom pisanja skripti a tiče se bezbednosti same aplikacije?
Nije znanje samo znati, već je znanje - znanje dati.

Piši ćirilicom! | Surfujte brže, sigurnije i lakše | Najveća niška online zajednica

 
Odgovor na temu

[es] :: PHP :: malo o sigurnosti....

[ Pregleda: 3522 | Odgovora: 14 ] > FB > Twit

Postavi temu Odgovori

Navigacija
Lista poslednjih: 16, 32, 64, 128 poruka.