Testing se web efarmogi

Σε αυτή την περιοχή μπορείτε να βρείτε ή να αναζητήσετε πληροφορίες σχετικές με την PHP

Συντονιστές: WebDev Moderators, Super-Moderators, PHP Moderators

ertert
Δημοσιεύσεις: 195
Εγγραφή: 21 Αύγ 2004 16:30

Testing se web efarmogi

Δημοσίευση από ertert » 23 Αύγ 2004 14:00

sorry alla den mporo na to katalavo....

pes oti stin forma einai $onomateponimo
to perneis apo to $onomateponimo=$_POST['onomateponimo'];
to tsekareis kai to katharizeis... kai meta to vazeis stin database pou exei to idio field
onomateponimo = '$onomateponimo'

ean stin forma exei to onoma $field1 kai pali tin idia diadikasia tha ginei
$field1=$_POST['field1'];
to tsekareis kai to katharizeis...
to vazeis stin database onomateponimo = '$field1'

aytos poy tha thelei na kanei ta kolpa tou h to $onomateponimo h to $field1 piraxei stin database tha paei...

ti tha pistevei oti ean einai $field1 den tha paei stin database ?

Άβαταρ μέλους
nske
Δημοσιεύσεις: 381
Εγγραφή: 15 Νοέμ 2002 03:39
Τοποθεσία: Αθήνα

Testing se web efarmogi

Δημοσίευση από nske » 23 Αύγ 2004 14:03

aytos poy tha thelei na kanei ta kolpa tou h to $onomateponimo h to $field1 piraxei stin database tha paei...

ti tha pistevei oti ean einai $field1 den tha paei stin database ?
απλά δε θα γνωρίζει το όνομα του field της db για να μπορέσει να κάνει inject data εκεί (αν υπάρχει λάθος στον έλεγχο του script που να του το επιτρέπει). Γιατί εφόσον δεν έχει τον κώδικα του script, μπορεί μόνο να μαντέψει ότι θα είναι το ίδιο με το name της form.

[edit] χμμ αν και τώρα που το ξανασκεύτηκα :P δεν είναι απαραίτητο να τo γνωρίζει πάντα [/edit]

---------------------------------
Μερικά σχετικά άρθρα (γενικά για πράγματα που μπορείς να προσέξεις):

http://www.developer.com/lang/article.php/918141
http://www.developer.com/lang/article.php/922871
http://www.sitepoint.com/article/sql-in ... tacks-safe
http://www.phpbuilder.com/manual/security.database.php
Τελευταία επεξεργασία από το μέλος nske την 23 Αύγ 2004 14:36, έχει επεξεργασθεί 3 φορές συνολικά.

Άβαταρ μέλους
Rapid-eraser
WebDev Moderator
Δημοσιεύσεις: 6851
Εγγραφή: 05 Απρ 2003 17:50
Τοποθεσία: Πειραιάς
Επικοινωνία:

Testing se web efarmogi

Δημοσίευση από Rapid-eraser » 23 Αύγ 2004 14:20

afto pou lew eivai oti av exeis eva pivaka me peidia
onoma kai eponimo

kalo 8a eivai mesa sto script sou va miv exeis vars me to idio ovoma
va miv xrisimopieis dld apo eksoterikes eisagoges
vars me to idio ovoma.
Cu, Rapid-eraser, Tα αγαθά copies κτώνται.
Love is like oxygen, You get too much you get too high
Not enough and you're gonna die, Love gets you high

Άβαταρ μέλους
soteres2002
S. & H. Moderator
Δημοσιεύσεις: 1524
Εγγραφή: 05 Μαρ 2004 22:17
Τοποθεσία: Ιωάννινα

Testing se web efarmogi

Δημοσίευση από soteres2002 » 23 Αύγ 2004 23:14

nske έγραψε:ertert για το 4 σωστά, γι αυτό διευκρίνησα ότι εξαρτάται από τι σε ενδιαφέρει. Αν σε ενδιαφέρει η ασφαλής υλοποίηση του script κάπου συγκεκριμένα και τίποτε άλλο τότε δεν υπάρχει μάλλον λόγος να το σκέφτεσε, αν σε ενδιαφέρει η πραγματική βελτίωση της εφαρμογής τότε ίσως θα ήταν καλή λύση.

ΥΣ. soteres άσχετο, τι στο καλό έχεις στη σελίδα σου και λες ότι δεν είναι συμβατή με mozilla? :o
o mozilla den emfanizei sosta ta layers kai ton exo diakopsi. genika olous tous browser me pirina mozilla.

Fsika kai auto kanei spoofing, me fake user-agent

Άβαταρ μέλους
soteres2002
S. & H. Moderator
Δημοσιεύσεις: 1524
Εγγραφή: 05 Μαρ 2004 22:17
Τοποθεσία: Ιωάννινα

Testing se web efarmogi

Δημοσίευση από soteres2002 » 23 Αύγ 2004 23:16

ThyClub έγραψε:Η δικιά μου γνώμη είναι να μην εμπιστεύεσαι ούτε τον εαυτό σου. ΤΙΠΟΤΑ. Ο μεγαλύτερος εχθρός σου είναι οι πελάτες σου (χρήστες) :wink:
sostos. oxi na min ton embisteyesai - na ton embisteuesai. alla to thema einai pos pote den boreis na kaneis ta panta sosta. ektos ki an exeis ensomatomeno epeksergasti algorithmon, gia na ginesai pio paranoikos stis eidees :D

Άβαταρ μέλους
soteres2002
S. & H. Moderator
Δημοσιεύσεις: 1524
Εγγραφή: 05 Μαρ 2004 22:17
Τοποθεσία: Ιωάννινα

Testing se web efarmogi

Δημοσίευση από soteres2002 » 23 Αύγ 2004 23:17

Rapid-eraser έγραψε:afto pou lew eivai oti av exeis eva pivaka me peidia
onoma kai eponimo

kalo 8a eivai mesa sto script sou va miv exeis vars me to idio ovoma
va miv xrisimopieis dld apo eksoterikes eisagoges
vars me to idio ovoma.
auto pou les prepei na ginetai mono otan i register_globals apo to php-ini einai set se on.

Episis fobos iparxei kai stis classes.

Άβαταρ μέλους
soteres2002
S. & H. Moderator
Δημοσιεύσεις: 1524
Εγγραφή: 05 Μαρ 2004 22:17
Τοποθεσία: Ιωάννινα

Testing se web efarmogi

Δημοσίευση από soteres2002 » 23 Αύγ 2004 23:22

nske έγραψε:το ότι το nuke είναι για τα μπάζα οφείλεται στην γραμμή που έχει πάρει ο κώδικάς του από την αρχή, αλλά ακόμη κι εκεί γίνεται συνεχώς debugging
ego pantos pisteuo oti to nuke einai gia ta baza giati exei toso poliplokes litourgies pou pisteuo oti kai oi idioi oi developers den kanoune kan ton kopo na xiristoun sosta. alloste einai kai ligo diskolo, afou den kseroune kai ti mods bazei o telikos xristis

Άβαταρ μέλους
Rapid-eraser
WebDev Moderator
Δημοσιεύσεις: 6851
Εγγραφή: 05 Απρ 2003 17:50
Τοποθεσία: Πειραιάς
Επικοινωνία:

Testing se web efarmogi

Δημοσίευση από Rapid-eraser » 23 Αύγ 2004 23:39

soteres2002 έγραψε:
Rapid-eraser έγραψε:afto pou lew eivai oti av exeis eva pivaka me peidia
onoma kai eponimo

kalo 8a eivai mesa sto script sou va miv exeis vars me to idio ovoma
va miv xrisimopieis dld apo eksoterikes eisagoges
vars me to idio ovoma.
auto pou les prepei na ginetai mono otan i register_globals apo to php-ini einai set se on.

Episis fobos iparxei kai stis classes.
oxi dev exei simasia to kolpo eivai va miv afiveis tov allov va mporei evgevi va ma8ei kati pou dev iparxei tropos va kserei (gia ta klistou kodika project). fisika to register_globals evoite oti epireazei alla fisika oxi gia tov sigkekrimevo logo. kai fisika ta perisotera problimata exouv n eixave av 8es tnv rizatous ekei idios sta code injection. sta sql injection sivi8os to problima eivai sta escapes kai sto kako filtering tov stixeiov pou erxovte apo to peribalov
Cu, Rapid-eraser, Tα αγαθά copies κτώνται.
Love is like oxygen, You get too much you get too high
Not enough and you're gonna die, Love gets you high

Άβαταρ μέλους
nske
Δημοσιεύσεις: 381
Εγγραφή: 15 Νοέμ 2002 03:39
Τοποθεσία: Αθήνα

Testing se web efarmogi

Δημοσίευση από nske » 24 Αύγ 2004 13:12

ego pantos pisteuo oti to nuke einai gia ta baza giati exei toso poliplokes litourgies pou pisteuo oti kai oi idioi oi developers den kanoune kan ton kopo na xiristoun sosta. alloste einai kai ligo diskolo, afou den kseroune kai ti mods bazei o telikos xristis
Υπάρχουν υποδειγματικά ανάλογα projects όπως το xoops (ή περισσότερο το e-xoops/ciamos). To nuke φαίνεται να πατάει τη μια φάκα μετά την άλλη και δεν έχει δικαιολογία.
Fsika kai auto kanei spoofing, me fake user-agent
Ο mozilla δεν κάνει, αλλά ο konqueror μπορεί να στείλει ότι useragent θέλεις ή καθόλου. Απλά μου κάνει εντύπωση το ότι δεν εμφανίζει κάτι σωστά ο mozilla/firefox γιατί δεν είναι τυχαίος browser. Μήπως είναι κάποιο λάθος του κώδικα; :-?

Ray
Δημοσιεύσεις: 308
Εγγραφή: 07 Μάιος 2003 03:57
Τοποθεσία: Lost Somewhere In Time

Testing se web efarmogi

Δημοσίευση από Ray » 24 Αύγ 2004 16:06

Έχετε πιάσει μία ενδιαφέρον συζήτηση, αλλά κατά την γνώμη μου με μικρή πρακτική αξία. Πέρα από τα πολύ χρήσιμα που έγραψε ο Rapid, όλα τα άλλα νομίζω ότι είναι πολύ πάνω για μια συνήθης εφαρμογή.

Άκουσα παραπάνω ένα φίλο, που σε μικρή ηλικία (15 χρονών νομίζω), έβγαλε συμπέρασμα για όλους τους Έλληνες επαγγελματίες της πληροφορικής, χωρίς να έχει δουλέψει έστω και μια ώρα στην ζωή του! (το ότι σου είναι άχρηστο το χαρτί του πανεπιστημίου δεν το σχολιάζω, απλά ελπίζω να εκμεταλλευτείς το ταλέντο σου και να πας να ζήσεις την ακαδημαϊκή ζωή… ποιος ξέρει ίσως σου μάθουν κάτι όλοι αυτοί οι άσχετοι άνθρωποι των πανεπιστημίων)

Μπορώ να ρωτήσω κάτι απλό. Φίλε ertert μπορείς να μας περιγράψεις λίγο με το τι έχει να κάνει η εφαρμογή που φτιάχνεις; Διότι από ότι έχω καταλάβει μέχρι τώρα το μόνο που μας είπες είναι ότι έχει ένα σύστημα login και ότι θέλεις να το εκμεταλλευτείς εμπορικά

Επίσης τα εργαλεία που χρησιμοποιείς (π.χ. php, mysql, apache) να φροντίσεις να είναι πάντα up to date και εννοείτε ότι πρέπει να παρακολουθείς της ιστοσελίδες τους σε καθημερινή βάση (ειδικά τα bug sections).

Θα διαφωνήσω μαζί σας στο ότι δεν υπάρχουν σοβαρές εταιρείες που δεν αναλαμβάνουν είτε την δημιουργία είτε τον έλεγχο του κώδικα που έχετε δημιουργήσει, απλά ίσως να μην έχετε καλή γνώση της αγοράς. Βέβαια θα πρέπει να έχετε στο μυαλό σας και το θέμα του κόστους που έχει αυτό το εγχείρημα! (π.χ. μιλάμε για κόστος πάνω από 400 ευρώ την ώρα που μια ομάδα μηχανικών θα ασχοληθεί με το project σας). Έχοντας λάβει μέρος σε δύο e-banking projects ( σε μία Ελληνική και μια Βρετανική τράπεζα), από την σκοπιά του μηχανικού λογισμικού, μπορώ να σας διαβεβαιώσω ότι υπάρχουν πολλοί καλοί Έλληνες στην ελληνική βιομηχανία ΙΤ με απίστευτες γνώσεις σε θέματα ασφαλείας (απλά δεν δουλεύουν τσάμπα οι άνθρωποι).

Επίσης να γνωρίζετε ότι το 99% των σοβαρών επιθέσεων έχουν γίνει ‘εκ των έσω’ και όχι από εξωτερικό παράγοντα. Σημαντικό είναι επίσης να κοιτάξουμε και στα διαφορετικά είδη ασφαλείας που πρέπει να προσέξουμε. Π.χ. ασφάλεια στο λειτουργικό σύστημα, ασφάλεια στον web server, ασφάλεια στο δίκτυο, ασφάλεια στην εφαρμογή, ακόμη και ασφάλεια σε επίπεδο hardware (κλπ, κλπ). Όλοι οι παραπάνω τομείς χρειάζονται αρκετά χρόνια σπουδών και εμπειρίας για να μπορεί να πει κάποιος ότι είναι γνώστης του τι γίνεται. Δεν είναι λοιπόν δυνατόν ένας άνθρωπος να είναι εξειδικευμένος επάνω σε όλους τους προαναφερόμενους τομείς. Όλα τα σύγχρονα project υλοποιούνται από ομάδες ατόμων εξειδικευμένα στον τομέα τους. Ειδικά όταν μιλάμε για εμπορική εκμετάλλευση πρέπει να διασφαλίζετε η ασφάλεια των συναλλαγών των πελατών μας με ΟΠΟΙΟΔΗΠΟΤΕ κόστος.

Φιλικά,

Χρήστος

Άβαταρ μέλους
iNDEFiX
Honorary Member
Δημοσιεύσεις: 2569
Εγγραφή: 20 Δεκ 2002 00:48
Τοποθεσία: κλειστή λόγω έργων
Επικοινωνία:

Testing se web efarmogi

Δημοσίευση από iNDEFiX » 25 Αύγ 2004 16:22

O kalyteros tropos gia na prostatepseis tis efarmoges sou, einai na skefteis ton xeirotero tropo na tis katastrepseis...

Άβαταρ μέλους
soteres2002
S. & H. Moderator
Δημοσιεύσεις: 1524
Εγγραφή: 05 Μαρ 2004 22:17
Τοποθεσία: Ιωάννινα

Testing se web efarmogi

Δημοσίευση από soteres2002 » 25 Αύγ 2004 23:52

if anyone is interested ind eploying the Linux operating system on their server, they may read "Hacking Linux Exposed". To biblio borei na to brei kaneis sto papasotiriou. Ego to exo parei!!!! And it's great!!!

sorry, gia ta agglikanika mou!

Pantos tha ithela na prostheso oti i ASFALIA den einai mono epikeri, prepei na epitiritai panta, na eisai sinexos stin priza, na parakoloutheis ta panta sto net. pragma adinato.

kai to simperasma, panta kapoioi tha mas g****.

Άβαταρ μέλους
soteres2002
S. & H. Moderator
Δημοσιεύσεις: 1524
Εγγραφή: 05 Μαρ 2004 22:17
Τοποθεσία: Ιωάννινα

Testing se web efarmogi

Δημοσίευση από soteres2002 » 26 Αύγ 2004 00:04

Gia esena file Ray, sosta auta pou les. Ego tin pliroforiki tin exo kanei to 50% tis zois mou. tin exo filosofisei kai einai kata 99,999999% mesa sto mialo mou oli tin ora. Mou exei ginei sinitheia. Exo xtisei onira pou htelo na peratoso me tin isodo mou stin sxoli mixanikon ipologiston. An kai exo ekseretika polles gnoseis pano stin pliroforiki, exo grapsei arthra gia asfaleia ipologiston se megala sites pou eginan dekta apo tous megalous tis asfaleias ipologiston, akoma skeftomai ti biblia tha grapso (an eixa xrono tha egrafa kai tora)...++++

gia na min ta polilogo, to ti tha ithela na kano me tin plirofiriki: fantasou ti tha ekane enas panepistimion-epistimis (ti eipa tora!), thelo na sinisfero toso ethnika oso kai pagkosmia, kai idi se ilikia 15 eton mou exoune ginei protraseis apo eteries gia sinergasia, kai oxi mono.

Oso gia to prixio, na dieukriniso kati: to ptixio einai ena tipiko koloxarti to opio pernei kaneis meta apo xronia spoudon kai borei me auto na pistopiisei eite tis gnoseis tou eite na brei mia doulia. omos ti na to kano auto to koloxarto an den eimai on-line me auto pou spoudasa. Na to xeso!

Gia na poume tin alithia, epidi einai pera apo ta anthropina oria na einai kaneis ena teras gnoseon, akoma kai autoi pou theorountai "top" se mia epistimi einai stin pragmatikotita ena tipota! Kai leo tipota giati kaneis den mporei na exei plires elegxo pano se kati. an den borei se akti sigkekrimeno, fantasou pos tha einai gia tin kataktisi tou kosmou.

Nomizo pos to exoume tsakisei to thread... :hammer:

Ray
Δημοσιεύσεις: 308
Εγγραφή: 07 Μάιος 2003 03:57
Τοποθεσία: Lost Somewhere In Time

Testing se web efarmogi

Δημοσίευση από Ray » 26 Αύγ 2004 00:22

Γενικά η σειρά Hacking Exposed είναι τελείως για πλάκα. Ουδεμία θεωρητική η πρακτική αξία έχουν, οπότε μην χάνεις τον χρόνο σου (και τα χρήματά σου) με αυτά!

Πιάσε και μάθε τι είναι το OSI Model, από τι αποτελείτε και γιατί δημιουργήθηκε. Διάβασε τον ρόλο του κάθε ένα layer του OSI model στις τηλεπικοινωνίες, και διάβασε πολύ προσεκτικά τα πρωτόκολλα που ορίζουν το πώς λειτουργεί ο κάθε layer στο μοντέλο.

Κάτσε και δες πολύ προσεκτικά πως λειτουργούν τα πρωτόκολλα HTTP, FTP, TCP και ΙΡ (άντε και UDP) και δες πως υλοποιούνται αυτά στο λειτουργικό σύστημα στο οποίο σε ενδιαφέρει!

Κάτσε και φτιάξε στην C++ και ένα πρόγραμμα να χρησιμοποιεί κάποια από τα παραπάνω πρωτόκολλα (π.χ. ένα απλό πρόγραμμα ping είναι σχετικά εύκολο να γίνει)…

Τότε ίσως να πάρεις μια ιδέα για την καρδιά του internet, πως αυτή χτυπάει και, αν είσαι αρκετά καλός, ίσως να καταφέρεις να την κάνεις να χτυπάει όπως θέλεις εσύ…

Γενικά, για να ξεμπερδεύουμε, όταν δημιουργήθηκαν τα παραπάνω πρωτόκολλα, το μόνο που είχαν οι μηχανικοί στο μυαλό τους ήταν το πώς θα πάει ακέραιο ένα πακετάκι πληροφορίας από έναν υπολογιστή σε έναν άλλο κάπου στο δίκτυο. Δεν τους ενδιέφερε καθόλου η ασφάλεια των δεδομένων για αυτό και λέμε ότι αυτά τα πρωτόκολλα δεν είναι ασφαλή.

Άσε λοιπόν τα παιδικά βιβλία και κάτσε και πιάσε κανένα σοβαρό βιβλίο, έτσι ώστε να μάθεις ουσιαστικά πράγματα!
soteres2002 έγραψε: Oso gia to prixio, na dieukriniso kati: to ptixio einai ena tipiko koloxarti to opio pernei kaneis meta apo xronia spoudon kai borei me auto na pistopiisei eite tis gnoseis tou eite na brei mia doulia. omos ti na to kano auto to koloxarto an den eimai on-line me auto pou spoudasa. Na to xeso!
Όταν θα σπουδάσεις και θα πάρεις ένα πτυχίο και μετά ένα μαστερ και μετά ένα διδακτορικό, τότε έλα να μας πεις αν είναι κωλόχαρτα ή όχι!

Μέχρι τότε, αν είσαι σοβαρό άτομο, το μόνο που μπορείς να κάνεις είναι να σιωπάς. Πρώτα θα ζεις κάτι και μετά θα σχολιάζεις αν σου αρέσει ή όχι!

Μην μπερδεύεις την εμπειρία ενός καλού χρήστη υπολογιστών, με την εμπειρία ενός καλού μηχανικού…

Ο ένας χρησιμοποιεί αυτά που φτιάχνει ο άλλος


Φιλικά,

Χρήστος

Άβαταρ μέλους
gaucho
Honorary Member
Δημοσιεύσεις: 2408
Εγγραφή: 22 Δεκ 2002 13:18

Testing se web efarmogi

Δημοσίευση από gaucho » 26 Αύγ 2004 13:58

Oso gia to prixio, na dieukriniso kati: to ptixio einai ena tipiko koloxarti to opio pernei kaneis meta apo xronia spoudon kai borei me auto na pistopiisei eite tis gnoseis tou eite na brei mia doulia. omos ti na to kano auto to koloxarto an den eimai on-line me auto pou spoudasa. Na to xeso!

Gia na poume tin alithia, epidi einai pera apo ta anthropina oria na einai kaneis ena teras gnoseon, akoma kai autoi pou theorountai "top" se mia epistimi einai stin pragmatikotita ena tipota! Kai leo tipota giati kaneis den mporei na exei plires elegxo pano se kati. an den borei se akti sigkekrimeno, fantasou pos tha einai gia tin kataktisi tou kosmou.
ok eisai 15 eipes.
Exeis dikio

Alla ipotheto oti ekei pou eisai blepeis mono ptixiouxous pou den kseroune polla. Mi tous bazeis olous sto idio kazani

Eksalou dixneis komplex me tou sptixiouxous. To ptixio pliroforikis de to les kwloxarto oute gia plaka. To kalitero einai na to sindiazei kapios kai ta dio. Ekpedeusi panepistimiou kai autodidaktos opws oi perisoteroi edw kai esi

Mporei na eisai kalos se merika pragmata se sxesi apo kapious ptixiouxos alla merikous den tous ftaneis

Se pliroforo oti san ptixiouxos pliroforikis tou uom exw dei atoma pou einai eti fotos makria apo emas kai apo atoma opws o intefixx kai o RAY
Atomo agorase binteokamera kai eftiakse dikosu tous drivers gia fedora. Ftiaxnei pexnidia gi alinux kai ta xrisimopuiiei mono sto diko tou pc

Zise kati kai meta krinto.

Episis stin elada prepei na exeis ptixio aliws tha douleueis tzampa gi autosu pou se zitisan gia douleia. An kai eisai kalos to kwloxarto sou dinei dikaiwma gia perisotero mistho.
Τελευταία επεξεργασία από το μέλος gaucho την 26 Αύγ 2004 14:06, έχει επεξεργασθεί 3 φορές συνολικά.

Απάντηση

Επιστροφή στο “PHP Προγραμματισμός”

Μέλη σε σύνδεση

Μέλη σε αυτήν τη Δ. Συζήτηση: Δεν υπάρχουν εγγεγραμμένα μέλη και 1 επισκέπτης