Защита от хакване
- Автор terorr
- Начална дата
DeathGuard_
Registered
Пред array-овете може да сложиш @
DeathGuard_
Registered
Ами другите са ясни 
да слагаш силни пароли с букви, цифри и символи, да променяш CP паролата отвреме навреме, ако имаш странициране да прави проверки дали горе номерата на страниците са цифри и това е според мен 
То ако някой се навие - ще го хакне както и да е защитен, вземи за пример сайта на пентагона - що защити има а 19 годишно хлапе го хакна ;]
да слагаш силни пароли с букви, цифри и символи, да променяш CP паролата отвреме навреме, ако имаш странициране да прави проверки дали горе номерата на страниците са цифри и това е според мен То ако някой се навие - ще го хакне както и да е защитен, вземи за пример сайта на пентагона - що защити има а 19 годишно хлапе го хакна ;]Днес су играх в един сайт ор рода на hts, и стигнах го следната sql инжекция:
http://********.com/index.php?id=1+union+select+null,null,null,concat(username,0x3a,password),null--
Дори и след addslashes() и htmlspecialchars() горната заявка е все още валидна.Аз бих ти препоръчал да проверяваш всеки низ,който използваш в заявките ти да го проверяваш да не съдържа следните думи:
union,select,or и т.н.
http://********.com/index.php?id=1+union+select+null,null,null,concat(username,0x3a,password),null--
Дори и след addslashes() и htmlspecialchars() горната заявка е все още валидна.Аз бих ти препоръчал да проверяваш всеки низ,който използваш в заявките ти да го проверяваш да не съдържа следните думи:
union,select,or и т.н.
DeathGuard_
Registered
Не, това му е целта...vankich каза:
Ако можеш да ми кажеш как става ?FestarBG каза:Днес су играх в един сайт ор рода на hts, и стигнах го следната sql инжекция:
http://********.com/index.php?id=1+union+select+null,null,null,concat(username,0x3a,password),null--
Дори и след addslashes() и htmlspecialchars() горната заявка е все още валидна.Аз бих ти препоръчал да проверяваш всеки низ,който използваш в заявките ти да го проверяваш да не съдържа следните думи:
union,select,or и т.н.
Ето как става:
ако УРЛ-то е http://site.com/site.php?id=1+select и т.н няма да стане нищо<?php
$get = $_GET['id'];
if(preg_match("/union/i",$get,$bb) OR preg_match("/select/i",$get,$bb) OR preg_match("/or/i",$get,$bb) OR preg_match("/-/i",$get,$bb)){
echo "Благодарим Ви!Ще предадем на НСБОБ";
$sleep = sleep(15);
if($sleep == true) {
echo "Ооопс пренатоварихме се ,изчакайте няколко секунди";
}
die();
exit(); // да се подсигурим ....
}
?>
StormBreaker
Registered
lam3r4370 каза:Ето как става:
ако УРЛ-то е http://site.com/site.php?id=1+select и т.н няма да стане нищо<?php
$get = $_GET['id'];
if(preg_match("/union/i",$get,$bb) OR preg_match("/select/i",$get,$bb) OR preg_match("/or/i",$get,$bb) OR preg_match("/-/i",$get,$bb)){
echo "Благодарим Ви!Ще предадем на НСБОБ";
$sleep = sleep(15);
if($sleep == true) {
echo "Ооопс пренатоварихме се ,изчакайте няколко секунди";
}
die();
exit(); // да се подсигурим ....
}
?>
И ако през това поле се предава текст какво правим?
не , пак си ги слагай , но така имаш 1 клас по-добра сигурност. също ако имаш система за качване на снимки/файлове по добре проверявай форматите на файловете който се качват , и направи така че да ги преименува , за да е по-сигурно..
също така като имаш някаде
примерно
index.php?page=home
ако си го направил така:
$променлива=$_GET['page'];
include_once "$променлива.php"; // или нещо такова
по-добре го махни защото има начини и така да се хакне ;]
също така като имаш някаде
примерно
index.php?page=home
ако си го направил така:
$променлива=$_GET['page'];
include_once "$променлива.php"; // или нещо такова
по-добре го махни защото има начини и така да се хакне ;]
MontefuckeR
Registered
Ще провериш дали $променлива е истински файлproba каза:
if(is_file($promenliva))
{
//fail e
include...
}
else
{
//ne e fail
}