Форум Пользователи Пыхослёт
новые сообщения ответы на мои сообщения избранное скрытые темы случайный топик открыть всё в новых вкладках

ФорумПрограммированиеPHP для идиотов → Уязвимости и mysql инъекции

Уязвимости и mysql инъекции

  • NRG

    Сообщения: 4761 Репутация: N Группа: в ухо

    Spritz 15 апреля 2009 г. 16:09, спустя 16 минут 25 секунд



    да девушка есть
    Мля, а у меня нету … ((((((((((((((((
    AlexB, у тебя ж вроде жена была… или мне привидилось ? =)

  • AlexB

    Сообщения: 4306 Репутация: N Группа: в ухо

    Spritz 15 апреля 2009 г. 16:14, спустя 5 минут 13 секунд

    Ебти, ты еще маму вспомни … )))))

  • md5

    Сообщения: 11960 Репутация: N Группа: в ухо

    Spritz 15 апреля 2009 г. 16:19, спустя 4 минуты 30 секунд

    NRG, ну куда ж ты….
    все умрут, а я изумруд

  • Professor

    Сообщения: 2089 Репутация: N Группа: Адекваты

    Spritz 22 апреля 2009 г. 22:33, спустя 7 дней 6 часов 14 минут 


    header("Content-Disposition: attachment;filename={$_GET['name']}");
    header("Content-type: application/octet-stream");


    echo file_get_contents("mail_files/{$_GET['name']}");



    если я так отдавать файлы буду, можно ли как нибудь подделать GET чтоб выйти из категории mail_files и скачать домустим index.php ?

  • adw0rd

    Сообщения: 22959 Репутация: N Группа: в ухо

    Spritz 22 апреля 2009 г. 22:43, спустя 10 минут 36 секунд

    Professor, а чего не потестил?
    https://smappi.org/ - платформа по созданию API на все случаи жизни

  • phpdude

    Сообщения: 26646 Репутация: N Группа: в ухо

    Spritz 22 апреля 2009 г. 22:49, спустя 5 минут 28 секунд 



    header("Content-Disposition: attachment;filename={$_GET['name']}");
    header("Content-type: application/octet-stream");


    echo file_get_contents("mail_files/{$_GET['name']}");



    если я так отдавать файлы буду, можно ли как нибудь подделать GET чтоб выйти из категории mail_files и скачать домустим index.php ?
    foreach($files as $i=>$file)
    {
    	$path = realpath($base."/".$file);
    	if(substr($path,-3) != ".js")
    	{
    		header ("HTTP/1.0 403 Forbidden");
    		exit;
    	}
    	if(substr($path,0,strlen($base."/")) != $base."/" || !file_exists($path))
    	{
    		header ("HTTP/1.0 404 Not Found");
    		exit;
    	}

    	$lastmodified = max($lastmodified,filemtime($path));
    	$files[$i] = $path;
    }


    посмотри на этот кусок кода. тут как раз все защиты. и переделай под свой вариант, а меня даже непроси переделать. нихуя не стану! :)
    Сапожник без сапог

  • Karlovich

    Сообщения: 39 Репутация: N Группа: Кто попало

    Spritz 24 апреля 2009 г. 22:39, спустя 1 день 23 часа 49 минут 



    header("Content-Disposition: attachment;filename={$_GET['name']}");
    header("Content-type: application/octet-stream");


    echo file_get_contents("mail_files/{$_GET['name']}");



    если я так отдавать файлы буду, можно ли как нибудь подделать GET чтоб выйти из категории mail_files и скачать домустим index.php ?


    Всяко можно, я те говорю фильтруй все входящие и выходящие данные от юзера.

  • Professor

    Сообщения: 2089 Репутация: N Группа: Адекваты

    Spritz 27 апреля 2009 г. 0:40, спустя 2 дня 2 часа

    Нужно юзеру позволить пользоваться визувигом.
    какой посоветуете с минимальным функционалом. И как защищать ? Ведь я слышал это не безопасно

  • phpdude

    Сообщения: 26646 Репутация: N Группа: в ухо

    Spritz 27 апреля 2009 г. 1:07, спустя 26 минут 50 секунд


    Нужно юзеру позволить пользоваться визувигом.
    какой посоветуете с минимальным функционалом. И как защищать ? Ведь я слышал это не безопасно
    fckeditor или tinymce. самые распространенные, юзай их
    Сапожник без сапог

  • Professor

    Сообщения: 2089 Репутация: N Группа: Адекваты

    Spritz 27 апреля 2009 г. 1:12, спустя 5 минут 49 секунд

    Ну я только с ними и работал =) А можно ли юзеру давать ими пользоваться?

  • phpdude

    Сообщения: 26646 Репутация: N Группа: в ухо

    Spritz 27 апреля 2009 г. 1:14, спустя 1 минуту 50 секунд


    Ну я только с ними и работал =) А можно ли юзеру давать ими пользоваться?
    а почему нельзя?
    Сапожник без сапог

  • phpdude

    Сообщения: 26646 Репутация: N Группа: в ухо

    Spritz 27 апреля 2009 г. 1:15, спустя 30 секунд

    [find]wysiwyg сравнение[/find]
    Сапожник без сапог

  • Professor

    Сообщения: 2089 Репутация: N Группа: Адекваты

    Spritz 27 апреля 2009 г. 1:27, спустя 12 минут 7 секунд

    Может просто ссылки оставить и автора? А то много букв =(

  • phpdude

    Сообщения: 26646 Репутация: N Группа: в ухо

    Spritz 27 апреля 2009 г. 1:30, спустя 2 минуты 48 секунд


    Может просто ссылки оставить и автора? А то много букв =(

    думаю колво результатов уменьшить .. надо эдво, мд5 и компанию, может че подскажут тоже :)
    Сапожник без сапог

  • Professor

    Сообщения: 2089 Репутация: N Группа: Адекваты

    Spritz 27 апреля 2009 г. 12:15, спустя 10 часов 45 минут 23 секунды



    Ну я только с ними и работал =) А можно ли юзеру давать ими пользоваться?
    а почему нельзя?


    Потому что раньше для защиты от sql инъекции я экранировал посылаемый результат, а теперь экранировать нельзя. и могут что то вредное послать.

Пожалуйста, авторизуйтесь, чтобы написать комментарий!

наше все Форум Пользователи Пыхослёт Slack Тикеты
социализация
(ц) пыха.ру / с 2007 года         Total: 0.024s         Часовой пояс — Europe/Moscow
ПИПИСЬКА