ФорумПрограммированиеPHP для идиотов → Уязвимости и mysql инъекции

Уязвимости и mysql инъекции

  • Professor

    Сообщения: 2089 Репутация: N Группа: Адекваты

    Spritz 22 марта 2009 г. 13:16, спустя 9 минут 49 секунд


    md5 не подходит так как по ТЗ нужна функция востановления того же пароля.
    А для написания декодироания md5 я еще не дорос =)
  • ubica

    Сообщения: 530 Репутация: N Группа: Кто попало

    Spritz 22 марта 2009 г. 13:21, спустя 5 минут 25 секунд

    Professor, и не дорастешь, т.к. декодирование невозможно в принципе. восстановление пароля обычно делается либо сменой пароля на рандомный и отправка его мылом, либо парню отправляется ссылка "сменить пароль" с маркером смены пароля
  • Lirck

    Сообщения: 1658 Репутация: N Группа: Джедаи

    Spritz 22 марта 2009 г. 13:25, спустя 3 минуты 20 секунд

    Professor, ну объясни заказчику что так буит безопаснее, сольют твою базу нахер и чо делать???
  • phpdude

    Сообщения: 26646 Репутация: N Группа: в ухо

    Spritz 22 марта 2009 г. 13:34, спустя 9 минут 45 секунд

    aivee, ты думмаешь там инъекций не будет? ))))))) так что шифрование пароля е самая страшная вещь
    Сапожник без сапог
  • Professor

    Сообщения: 2089 Репутация: N Группа: Адекваты

    Spritz 22 марта 2009 г. 13:39, спустя 4 минуты 57 секунд


    Professor, и не дорастешь, т.к. декодирование невозможно в принципе. восстановление пароля обычно делается либо сменой пароля на рандомный и отправка его мылом, либо парню отправляется ссылка "сменить пароль" с маркером смены пароля

    Это шутка была =)

    Professor, ну объясни заказчику что так буит безопаснее, сольют твою базу нахер и чо делать???

    Мне завтра уже сайт сдавать надо =)
    И заказчик не хочет разные пароли. Он 1 запомнить не может и надо чтоб ему когда захочет напомнилось =)
  • Professor

    Сообщения: 2089 Репутация: N Группа: Адекваты

    Spritz 22 марта 2009 г. 13:41, спустя 1 минуту 29 секунд

    Меня вот интересует безопасность сессий.
    такой кусок кода безопасен? или тоже можно как нить исхитриться?
    …e.id_message WHERE privileges_message.id_group=".$_SESSION['group']."…..
  • ubica

    Сообщения: 530 Репутация: N Группа: Кто попало

    Spritz 22 марта 2009 г. 14:20, спустя 38 минут 53 секунды


    Меня вот интересует безопасность сессий.
    такой кусок кода безопасен? или тоже можно как нить исхитриться?
    …e.id_message WHERE privileges_message.id_group=".$_SESSION['group']."…..


    можно исхитриться заставить тебя засунуть в сессию неэкранированную хуйню
    бля, ну почему бы не не привыкнуть экранировать все?)
  • Professor

    Сообщения: 2089 Репутация: N Группа: Адекваты

    Spritz 22 марта 2009 г. 14:32, спустя 12 минут 41 секунду

    Я просто считал что сессии безопасны.

    А каким образом пользователь в сессию может что нить написать?
  • ubica

    Сообщения: 530 Репутация: N Группа: Кто попало

    Spritz 22 марта 2009 г. 14:56, спустя 23 минуты 54 секунды

    Professor, никаким. но ты можешь сам засунуть туда значение из формы или из куки
  • Professor

    Сообщения: 2089 Репутация: N Группа: Адекваты

    Spritz 22 марта 2009 г. 15:28, спустя 31 минуту 53 секунды

    А ,ну если только в этом опасность, то все нормально. =)
    Спасибо.
  • Lirck

    Сообщения: 1658 Репутация: N Группа: Джедаи

    Spritz 23 марта 2009 г. 7:51, спустя 16 часов 23 минуты 2 секунды

    еще презервативы надо использовать
  • Professor

    Сообщения: 2089 Репутация: N Группа: Адекваты

    Spritz 26 марта 2009 г. 7:28, спустя 2 дня 23 часа 36 минут

    А как проверять формат загружаемых файлов.
    И какие расширения в принципе можно разрешать загружать.
    rar,zip,jpg,gif,doc,txt,
  • Lirck

    Сообщения: 1658 Репутация: N Группа: Джедаи

    Spritz 26 марта 2009 г. 7:30, спустя 1 минуту 43 секунды

    те, которые не смогут исполнятся на серваке
  • ubica

    Сообщения: 530 Репутация: N Группа: Кто попало

    Spritz 26 марта 2009 г. 7:31, спустя 50 секунд

    и как перестать задавать вопросы без вопросительного знака.
    проверяй по mime
    разрешай все, если не будешь отдавать по прямой ссылке
  • phpdude

    Сообщения: 26646 Репутация: N Группа: в ухо

    Spritz 26 марта 2009 г. 8:57, спустя 1 час 26 минут 52 секунды


    А как проверять формат загружаемых файлов.
    И какие расширения в принципе можно разрешать загружать.
    rar,zip,jpg,gif,doc,txt,
    почитай как устроен хттп протокол и тогда ты поймешь как можно отдавать файлы и хранить их безопасно на сервере, хоть пхп файлы. просто называй их t.file 2.file 3.file а рядом 1.info 2.info 3.info где вписано изначальное имя этого файла + майме тип которые тебе надо будет передавать человеку

    content-disposition кажется заголовок называется. почитай
    Сапожник без сапог

Пожалуйста, авторизуйтесь, чтобы написать комментарий!