безопасно ли е?

K

kWo

Registered
ако повечето ми в сайта заявки са post с jquery а не get да има шанс да се навреди на сайта?

тоест не могат да ми направят нищо чрез пост с jquery нали ?

или могат.. :?
 
Няма голяма разлика дали ползващ ПОСТ или ГЕТ, и в двата случая могат да ти направят лошо. Важното е ти как във обработващият скрипт се справяш със тези неща :)
 
еми как да обработя пост заявките освен когато няма такъв резултат и ако не е число

други начини едва ли има или аз не знам нищо :?
 
В сайта и форума има доста уроци за XSS. Ето ти един, току що го мярнах в една подобна тема.
http://web-tourist.net/login/login/view.php?st=2014
 
това го ползвам

други неща трябват ли ми ??

освен същи така проверявам дали е число и ако няма такъв запис


само това са проверките
 
Този урок само записва атаката, или така ми се струва ? Защото пак ще се изпълни заявката независимо, че е записана
 
BattleGrounds каза:
Този урок само записва атаката, или така ми се струва ? Защото пак ще се изпълни заявката независимо, че е записана
Увеличете...
Слагаш един exit( 'Опит за атака!' );
след като запише атаката във файла и си готов :roll:
 
значи няма какви други защити да слагам?


само ме притесняват транициранията не мога да направя като няма такава страница да изведе няъв ерор
 
братя, филтрирайте си входната информация, това е.

addslashes
htmlspecialchars
mysql_real_escape_string

Има хиляди начини за атаки:

sql injection
directory traversal attack
xss attack
brutal force sql injection
escape sequance injection

Addslashes не винаги вършат работа, затова си има prepared statements и PEAR. При ъплоуд форми също филтрирайте качената информация. Jpeg файл не винаги означава изображение. Не позволявайте изпълнението на външни php скриптове. Не ползвайте готови системи с безплатен код, който се разпространява в интернет, пишете си php приложенията сами. Общо взето това е :D И най-важното, записвайте всички ОПИТИ за атаки в log файл
 
Само не разбрах нали е добре в моя случай че използвам на повечето места POST с jquery от колкото GET при изтривания на записи и т.н


то направо от тея опасности от хакване хората направо се плашат дали да си пуснат сайта или не .. няма оправия
 
kWo каза:
Само не разбрах нали е добре в моя случай че използвам на повечето места POST с jquery от колкото GET при изтривания на записи и т.н


то направо от тея опасности от хакване хората направо се плашат дали да си пуснат сайта или не .. няма оправия
Увеличете...

Няма разлика !
 
ясно, ама поне няма да може да си прави опити чрез гет да пише някви негови схеми за хакване ..
нз
 
kWo каза:
ясно, ама поне няма да може да си прави опити чрез гет да пише някви негови схеми за хакване ..
нз
Увеличете...
Просто няма разлика дали тези работи ще ги напише в URL-то или във формата за писане ( input-a ) + това с firebug може да се редактират и input type="hidden" и още подобни така че отговора ти се намира още във второто мнение на темата :wink:
А и спокойно щом хакват сайтовете на фбр и т.н. едва ли твоите защити ще са им голяма пречка :D
 
Трябва да си влезнал или регистриран, за да отговориш тук.

Back
Горе