Forum Webscript.Ru
Программирование => PHP => Тема начата: NukeR от 02 Марта 2005, 15:28:46
-
Люди, на сайте будет отправка сообщения администрации, 3 поля: имя, мыло и само сообщение. Как можно максимально защитить скрипт? применил фильтрацию всяких там скобок и т.д. Что еще нужно?
-
Ой! А я скобки не фильтрую! Это опасно????
-
На сколько я знаю да, опасно, так что лучше напиши типа: "Принимать все, кроме [{]}\\". и т.д., тока на php :)
-
ужас.
а точка с запятой тоже наверное страшно опасны?
Кстати!!!! Этот форум - сплошная дыра! Он же вежь позволил тебе ввести эти скобочки!!!
Хакеры, наверное, уже взломали его, и вовсю орудуют!!!
-
не, точка с запятой не опасны. Просто отправив некоторый код используя эти самые скобочки, хакер может просто напросто получить доступ к важной информации, что не есть хорошо. Если просто скобки написать, ничего не будет.
а насчет форума я думаю у них какая-то другая защита стоит
-
а еще у форума может быть эти скобки заменяются кодами этих символов, т.е. они показываются, но когда отправляются они обрабатываются.
-
Как видно - ни на что не заменяются.
Всё, хана! Форум уже взломан!
Я думаю, чререз форум скобочки передаются на мой компьютер...
срочно бегу проверяться!!!
-
:) :) :)
Да ты не понял, когда отправляется месага, всякие такие символы заменяются их кодом (у каждого символа есть свой код). И когда показываются, код заменяется опять же самим символом. (На сколько я понимаю).
А если форум собираешься ломать, то статейки могу подкинуть :)
-
:) :) :) Все что могу сказать! Просто отчисть сообщение от кавычек и амперсантов, а все остальное нечего не решает! А чуть не забыл
для отчистки от тегов можешь воспользоватся фукцией strip_tags
-
Lutik
Ой, мама!!!! Оказывается, кавычки и амперсанты ТОЖЕ ОПАСНЫЕ СИМВОЛЫ????
Что же вы раньше не предупредили????
-
ага, писибо. Можно еще сделать проверку реферера. Да наверное так и сделаю. А как ее правильно написать?
-
RomikChef
тут мама не поможет, тут скрипты патчить бежать... :-)
-
RomikChef не стыдно издеватся ? смотреть противно ;|
NukeR а эта мессага администрации у тя куда потом пойдет ? В базу - тоды предусматривай и там возможность закрыть раньше врмени кавычки и дописать хацкерские условия. Или отправляешь на мыло себе сразу - тоды опять как ? Если через соситему system() , то смотри что бы там в полях не оказалось нехороших системных (никсовых или др.) команд .
-
смотреть противно на тот бред, который тут пишут всякие неграмотные недоучки типа тебя.
-
Voyager2K:
тоды предусматривай и там возможность закрыть раньше врмени кавычки и дописать хацкерские условия
Вот с этого момента если можно по подробнее ?
-
for_i_0 он имеет в виду sql injection. Но пишет об этом настолько коряво, что никакого практического вывода из его каракулей сделать нельзя.
не говоря уже о том, что база - это исключительно плод его больной антазии.
тут смешное скорее не это, а
Voyager2K:
смотри что бы там в полях не оказалось нехороших системных (никсовых или др.) команд .
в это да- суперсовет.
составить список команд и проверять. больше делать нечего.
-
RomikChef , чувтсвутется у тебя было тяжелое детство было. Как будто у ребенка все время сладости отнимали в детсве и теперь он пытается так же отыграться на своих детях.
Почему в форумах нет понятия игнора , как в чате, ты бы у меня в игнор листе занял бы первое место.
И не надо мне тут опять блы-блы-блы. Закроем пререкания. Все с этих пор условно игнорю тебя. Точка.
for_i_0
Лучше вот :
http://www.xrout.org/modules.php?name=Articles&pa=showarticle&artid=91
-
RomikChef Надо же по теме начал болтать(точнее я не заметил второй страницы сначала) ;) Лана игнор мой если ты говоришь по сабжу не распространяется.
он имеет в виду sql injection
Именно это я и имел ввиду.. Это видно из пред поста.
в это да- суперсовет.
Просто мала вероятность что кто там будет устраивать все. В любом случае.
Однако исполнение системных команд путем написания их в именах файлов и заканчиванием через кривые скрипты ты не отрицаешь ?
-
я отрицаю идиотов.
ни бельмеса не смыслящих в теме, на которую берутся писать
-
Voyager2K:
NukeR а эта мессага администрации у тя куда потом пойдет ? В базу - тоды предусматривай и там возможность закрыть раньше врмени кавычки и дописать хацкерские условия. Или отправляешь на мыло себе сразу - тоды опять как ? Если через соситему system() , то смотри что бы там в полях не оказалось нехороших системных (никсовых или др.) команд .
На мыло пойдет
-
На мыло пойдет
Ну тоды все это у тебя скорее всего отправляется функцией mail() так что в случае обычного содержимого plain/text боятся нехороших символов в теле письма имхо не стоит.
Однако я в этом ничего не смыслю ;) пущай подождем немного. Если на этот топ обратит внимание хоть один РЕАЛЬНО знающий чел и объяснит что да как %)
-
для начала здесь нужен "чел", реально умеющий читать по-русски.
К примеру, такой, который после прочтения вопроса
Как можно максимально защитить скрипт?
не начнет советовать защищать базу данных, систему, или тело письма.