Старый 20.04.2011, 00:16   #21
C3 ~ RET
 
Аватар для C3 ~ RET
 
Регистрация: 30.08.2010
Сообщений: 46
Репутация: 15
По умолчанию

Цитата:
Сообщение от Qwazar Посмотреть сообщение
Ладно, проехали. Ты о чём то другом разговариваешь.
Почему же о другом? Очень даже не о другом. Есть 3 способа фикса ошибок:

1) Наложение костылей;
2) Изменение концепции;
3) Отказ от признания ошибки.

1 подход не результативен в силу появления ошибок в самих костылях - пример тому - Microsoft Windows со своими патчами. 2 подход тоже не без греха, однако в силу единства концепции подразумевает изначально меньшее число потенциальных ошибок. 3 подход очевиден - не умеешь признавать ошибки - и патчишь как тебе вздумается или вообще не патчишь. И то и другое - пагубно.
C3 ~ RET вне форума   Ответить с цитированием
Старый 20.04.2011, 12:46   #22
CrazyPilot
 
Регистрация: 18.04.2011
Сообщений: 7
Репутация: 0
По умолчанию

Обновил сайт на http://cph.su.
Надеюсь, теперь взломать будет сложнее.
Оборону усилил, жду новых "набегов" Заранее спасибо
CrazyPilot вне форума   Ответить с цитированием
Старый 20.04.2011, 21:51   #23
Raz0r
 
Аватар для Raz0r
 
Регистрация: 17.07.2010
Сообщений: 100
Репутация: 78
По умолчанию

Судя по коду, админу в любом случае придется учиться писать грамотный код, поэтому советую ТС разобраться с PDO/DbSimple/etc и по мере возможности начать использовать в продакшне именно prepared statements.
Но сначала необходимо разобраться с типами данных, понять почему в той или иной ситуации возможны инъекции и как от них избавиться средствами чистого PHP.
Raz0r вне форума   Ответить с цитированием
Старый 21.04.2011, 08:25   #24
CrazyPilot
 
Регистрация: 18.04.2011
Сообщений: 7
Репутация: 0
По умолчанию

Вам удалось взломать? Если да, то прошу отписаться в личку, как вы это сделали)
CrazyPilot вне форума   Ответить с цитированием
Старый 21.04.2011, 11:09   #25
CrazyPilot
 
Регистрация: 18.04.2011
Сообщений: 7
Репутация: 0
По умолчанию

Цитата:
Сообщение от Raz0r Посмотреть сообщение
Судя по коду, админу в любом случае придется учиться писать грамотный код
Если речь идет о коде с eregi, который был выложен в самом начале темы, то он был размещен в движке прямо перед размещением ссылки на вашем форуме, в надежде хоть как-то защититься. С тем, что этот код совершенно бесполезный, я полностью убедился

Про prepared statements - согласен, нужно переходить на них, но это занимает много вермени, так уже достаточно много кода реализовано на обертках к стандартному mysql_query. Со временем перейду на mysqli.
Но сейчас все переменные фильтруются, Позаботился о том, чтобы в новых скриптах было тяжело забыть отфильтровать переменную ( из POST / GET запроса переменная берется с помощью специальной функции, добавил туда обязательным параметром метод фильтрации).
CrazyPilot вне форума   Ответить с цитированием
Старый 22.05.2011, 22:11   #26
che
 
Аватар для che
 
Регистрация: 05.07.2010
Сообщений: 144
Репутация: 166
По умолчанию

Цитата:
Сообщение от Jokester Посмотреть сообщение
Вспомнилось для int

$a = 0+$GLOBALS['a'];

PS Всерьёз не воспринимать, привет админу одного из хакфорумов
а можно подробнее, чё то я не вкурил
che вне форума   Ответить с цитированием
Старый 22.05.2011, 23:38   #27
Jokester
 
Аватар для Jokester
 
Регистрация: 01.07.2010
Сообщений: 252
Репутация: 155
По умолчанию

Цитата:
Сообщение от che Посмотреть сообщение
а можно подробнее, чё то я не вкурил
Ну это приведение к инт. Вобщем-то обойти не удалось, так что безопасно, а стёб по поводу самой реализации )
__________________
------------------
Jokester вне форума   Ответить с цитированием
Старый 23.05.2011, 01:24   #28
che
 
Аватар для che
 
Регистрация: 05.07.2010
Сообщений: 144
Репутация: 166
По умолчанию

Цитата:
Сообщение от Jokester Посмотреть сообщение
Ну это приведение к инт. Вобщем-то обойти не удалось, так что безопасно, а стёб по поводу самой реализации )
блин я то думал что как то обходится, а такие костыли я встречал $league = $league *1; выглядит не очень но помогает
che вне форума   Ответить с цитированием
Старый 30.05.2011, 17:19   #29
shaitanych
 
Аватар для shaitanych
 
Регистрация: 06.07.2010
Сообщений: 8
Репутация: 0
По умолчанию

Цитата:
$league = $league *1;
а вот такое действия защищает ли ?
__________________
Кто владеет информацией, тот владеет миром.(c)
shaitanych вне форума   Ответить с цитированием
Старый 05.06.2011, 22:54   #30
che
 
Аватар для che
 
Регистрация: 05.07.2010
Сообщений: 144
Репутация: 166
По умолчанию

Цитата:
Сообщение от shaitanych Посмотреть сообщение
а вот такое действия защищает ли ?
а ты проверь и узнаешь, если получится дам ссылку где этот код стоит много трафа поимеешь
che вне форума   Ответить с цитированием
Ответ

Опции темы Поиск в этой теме
Поиск в этой теме:

Расширенный поиск
Опции просмотра

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход



Powered by vBulletin® Version 3.8.5
Copyright ©2000 - 2019, Jelsoft Enterprises Ltd. Перевод: zCarot