|
hilton_413 ↓
|
 |
|
24 Август, 2010, 05:47:14
|
НЕ ХУЕТА!
ХУЕТА!
|
|
Карма: 0
Сообщений: 36
Сила слова: 0
|
Всем привет.
Вопрос по поводу безопасности т.к начитался что не правильно написанный ajax может привести к большой проблеме... так вот собственно убился на все выходные сделать вывод менюшки из MySQL, средвствами ajax...
Мой "гавноКод" как все ща скажут работает, но я очень маловато понимаю в безопасности...
может кто то добавит исправления, добавления, коменты....
<?php
$id = $_POST['id'];
if ($id == 1)
{
include_once 'sql.php'; //MySQL connenect
}
else
{
// А если id != 1, то что ?
}
$result = mysql_query("SELECT * FROM menu WHERE class='subMenu'", $connection);
$fetch_aray = mysql_fetch_array($result);
$numrows = mysql_num_rows($result);
if ($numrows >= 1)//БД цыкл вывод.
{
while($numrows-- )
{
printf
("<li class='subMenu'><a href='http://%s' class='subLink'>%s</a></li>
", $fetch_aray['a'], $fetch_aray['name'] );
$fetch_aray = mysql_fetch_array($result);
}
}else
{
// да нихуя Ёпть !
}
?>
<?php echo "
<script type='text/javascript'>
$(document).ready(function(){// Hello World
$('#load').hide(); // Прачем ПреЛоад
$('#link').click( // Клик
function(){
$('#load').show(); // грузим прилоад и показываем.
$.ajax({global:false}); // тупой не разберется
$('#load').ajaxStart(function(){ $(this).show();
});
$('#load').ajaxStop(function(){ // Все заебок прячем картинку/текст прелодера
$(this).hide();
});
$.post( //hello POST
'test.php', // ПОЛёТ на УРЛ
{
//переменые для POST полета !!!
id:'1',
},
showPHP); // return varibles
function showPHP(data){
$('.box').html(data) // ВЫВОД
}; //showPHP
});//клик fn
}); //HEPPY END !!;
</script>
";
?>
<style type="text/css">
#blockDiv {background: #FFCC99; width: 300px; height: 150px;}
#div {background: red; width: 300px; height: 150px;}
#phptester {background:#000000; width: 300px; height: 350px; color:white}
</style>
<?php include_once 'test2.php'?> // JS скрипт в PHP обертке.
<body>
<div id="blockDiv">
<ul id="ul">
<li><a href='#' id="link">AJAX it! 2 </a><br /></li>
<li id="load">Loading... </li>
<li class="box"></li>
<a href="http://www.ya.ru">ya.ru </a>
</ul>
</div>
</body> |
|
|
|
|
Записан
|
Под-пись, Под-ПоП...Mitä vittu !
|
|
|
|
SpartakuS ↓
|
 |
|
24 Август, 2010, 12:17:18 , спустя 6 часов 30 минут 4 секунды
|
НЕ ХУЕТА!
ХУЕТА!
|
Группа: Адекваты Карма: 32
Сообщений: 2444 Сила слова: 1.31
|
Я не проснуля еще или ты айди не используешь??
|
|
|
|
|
Записан
|
 цска ебаное гавно. |
|
|
|
hilton_413 ↓
|
|
|
24 Август, 2010, 12:29:34 , спустя 12 минут 16 секунд
|
НЕ ХУЕТА!
ХУЕТА!
|
|
Карма: 0
Сообщений: 36
Сила слова: 0
|
Наверно не проснулся... :), или я всю ночь просидел что и не придумал куда id прилипить.
насамом деле id есть, но вот пользы от него я к сожалению не увидел....
{
//переменые для POST полета !!!
id:'1',
},
|
|
|
|
|
Записан
|
Под-пись, Под-ПоП...Mitä vittu !
|
|
|
|
SpartakuS ↓
|
|
|
24 Август, 2010, 12:36:10 , спустя 6 минут 36 секунд
|
НЕ ХУЕТА!
ХУЕТА!
|
Группа: Адекваты Карма: 32
Сообщений: 2444 Сила слова: 1.31
|
hilton_413, не, ну жбаскриптом то оно ушло.
Даже в скрипт пришло. А дальше то че? Спустя 3 минуты 17 секунд добавил То есть организовал ты закрытую вечеринку. Пригласил туд народ. Проверяешь ты их всех, чтоб оружие не притащили, бомбу. Короче безопастность. И тут ты вспомнил, что есть такой чувак айди и решил завалится и проверить, а нет ли у него дома пистолета? Пхуй что его на вечеринки (читай в скрипте) нету.
|
|
|
|
|
Записан
|
цска ебаное гавно. |
|
|
|
hilton_413 ↓
|
|
|
24 Август, 2010, 12:50:53 , спустя 14 минут 43 секунды
|
НЕ ХУЕТА!
ХУЕТА!
|
|
Карма: 0
Сообщений: 36
Сила слова: 0
|
мдаа...
ты хочешь сказать что вот это ID=1...
как пьянь подзаборная только "POST"-ом за пивом ходить может, да приетом его гопота может заваль без труда ...
|
|
|
|
|
Записан
|
Под-пись, Под-ПоП...Mitä vittu !
|
|
|
|
adw0rd ↓
|
|
|
24 Август, 2010, 12:52:41 , спустя 1 минуту 48 секунд
|
НЕ ХУЕТА!
ХУЕТА!
|
эдво
Группа: в ухо Карма: не нужна
Сообщений: 17634 Сила слова: 1.67
|
я вообще вас не понимаю, спецы по безопасности )
|
|
|
|
|
Записан
|
|
|
|
|
hilton_413 ↓
|
|
|
24 Август, 2010, 12:53:50 , спустя 1 минуту 9 секунд
|
НЕ ХУЕТА!
ХУЕТА!
|
|
Карма: 0
Сообщений: 36
Сила слова: 0
|
SpartakuS,
тогда как же... мне защетить мою Пьянь и Вечеринку от наркотических "Инекций" ?
Спустя 19 секунд добавил и от прочрго гавна... |
|
|
|
|
Записан
|
Под-пись, Под-ПоП...Mitä vittu !
|
|
|
|
SpartakuS ↓
|
|
|
24 Август, 2010, 01:00:32 , спустя 6 минут 42 секунды
|
НЕ ХУЕТА!
ХУЕТА!
|
Группа: Адекваты Карма: 32
Сообщений: 2444 Сила слова: 1.31
|
hilton_413, нужно все посетителейпеременные кто заходит на вечеринку в sql запрос экранировать и проверять. Спустя 35 секунд добавил adw0rd, и че конкретно ты у меня не понимаешь?
|
|
|
|
|
Записан
|
цска ебаное гавно. |
|
|
|
adw0rd ↓
|
|
|
24 Август, 2010, 01:09:11 , спустя 8 минут 39 секунд
|
НЕ ХУЕТА!
ХУЕТА!
|
эдво
Группа: в ухо Карма: не нужна
Сообщений: 17634 Сила слова: 1.67
|
adw0rd, и че конкретно ты у меня не понимаешь?
вообще все, вы говорите на албанско-гоповском языке каком-то |
|
|
|
|
Записан
|
|
|
|
|
hilton_413 ↓
|
|
|
24 Август, 2010, 01:10:27 , спустя 1 минуту 16 секунд
|
НЕ ХУЕТА!
ХУЕТА!
|
|
Карма: 0
Сообщений: 36
Сила слова: 0
|
SpartakuS ,
а, может от нее вообще избавится или она без еще хуже
экранировать и проверять -> поделись опытом как это возможно или ... ?
|
|
|
|
|
Записан
|
Под-пись, Под-ПоП...Mitä vittu !
|
|
|
|
kostyl ↓
|
|
|
24 Август, 2010, 01:14:21 , спустя 3 минуты 54 секунды
|
НЕ ХУЕТА!
ХУЕТА!
|
занедельный антипаттерн
Группа: Джедаи Карма: 60
Сообщений: 3526 Сила слова: 1.7
|
hilton_413, почитай про mysql_real_escape_string
|
|
|
|
|
Записан
|
качество жизни обратно пропорционально количеству лени
|
|
|
|
SpartakuS ↓
|
|
|
24 Август, 2010, 01:32:40 , спустя 18 минут 19 секунд
|
НЕ ХУЕТА!
ХУЕТА!
|
Группа: Адекваты Карма: 32
Сообщений: 2444 Сила слова: 1.31
|
hilton_413, раз меня эдво упрекнул в непонятнсти - обьясню нормально.
У тебя может быть два вида дырок.
1) sql-inj
То есть в твой sql запрос кто то что то подставит и изменит его.
$result = mysql_query("SELECT * FROM menu WHERE class='subMenu'", $connection);
Тут у тебя никто ничего не может полставить потому, что запрос постоянный. Тут нет переменных.
Другое дело, если бы ты его изменил так:
$result = mysql_query("SELECT * FROM menu WHERE class='subMenu' AND `id` = {$_POST['id']}", $connection);
Тогда в пост кто то мог пдставить 1 OR 1=1 и получил бы всю табличку. Но эт не особо страшно. Он мог бы залезть и в другие твои таблицы. Например юзеров.
А ты просто проверяешь id и больше его не используешь. Зачем тебе id?
Обычно эта проблема решается экранированием специальных символов в текстовых переменных (смотри предыдущий пост Костыля) или intval для числовых.
2) xss в них я мало понимаю. Но вобще подменив какую то переменную хакер может подставить свой javascript.
По-моему такая проблемма решается функцией htmlspecialchars. Тебе нужно прогнать через нее все переменые, которые ты выводишь, но к которым в теории может иметь доступ злумышленник.
("<li class='subMenu'><a href='http://%s' class='subLink'>%s</a></li>
",$fetch_aray['a'],$fetch_aray['name'] );
$fetch_aray['a'],$fetch_aray['name'] их
|
|
|
|
|
Записан
|
цска ебаное гавно. |
|
|
|
hilton_413 ↓
|
|
|
01 Сентябрь, 2010, 06:59:25 , спустя 8 дней 5 часов 26 минут 45 секунд
|
НЕ ХУЕТА!
ХУЕТА!
|
|
Карма: 0
Сообщений: 36
Сила слова: 0
|
Я так понел что все никто ничего добавить не хочет ( не может )...
:)
Да и на этом Всем Спасибо...
но на фоне этого скрипта, IntetExp ну ни как не хочет работать с $.POST
___________________________________________________________
как все всегда "Лиса Поёт и не ХРОМает" ---> FireFox Opera Ghrome.... Спустя 2 минуты 17 секунд добавил
InterExplorer пишет...
Сведения об ошибке на веб-странице
Сообщение: Предполагается наличие идентификатора, строки или числа
Строка: 39
Символ: 13
Код: 0
|
|
|
|
|
Записан
|
Под-пись, Под-ПоП...Mitä vittu !
|
|
|
|
phpdude ↓
|
|
|
01 Сентябрь, 2010, 07:39:53 , спустя 40 минут 28 секунд
|
НЕ ХУЕТА!
ХУЕТА!
|
я - ЭМО
Группа: в ухо Карма: 345
Сообщений: 20793 Сила слова: 1.66
|
олол Спустя 12 секунд добавил ставь дебагер под ие и ищи ошибку |
|
|
|
|
Записан
|
забанен. могу забанить других, пишите в личку
BEER. Helping ugly people have sex since 1862.
|
|
|
|
felix90 ↓
|
|
|
02 Сентябрь, 2010, 07:18:21 , спустя 11 часов 38 минут 28 секунд
|
НЕ ХУЕТА!
ХУЕТА!
|
Группа: Адекваты Карма: -2
Сообщений: 198 Сила слова: -1.01
|
То есть организовал ты закрытую вечеринку. Пригласил туд народ. Проверяешь ты их всех, чтоб оружие не притащили, бомбу. Короче безопастность. И тут ты вспомнил, что есть такой чувак айди и решил завалится и проверить, а нет ли у него дома пистолета? Пхуй что его на вечеринки (читай в скрипте) нету.
вообще все, вы говорите на албанско-гоповском языке каком-то (с) Спустя 22 секунды добавил А какой смысл от айди, если он не динамичен? Спустя 2 минуты 4 секунды добавил Или я что-то не то понял? :)
ЗЫ Лень было читать всё) |
|
|
|
|
Записан
|
Глубина жопы на во время работы прямо пропорционально зависит от длинны хуя положенного во время обучения!
|
|
|
|
