Форум Пользователи Пыхослёт
новые сообщения ответы на мои сообщения избранное скрытые темы случайный топик открыть всё в новых вкладках

ФорумПрограммированиеPHP для идиотов → Уязвимости и mysql инъекции

Уязвимости и mysql инъекции

  • Professor

    Сообщения: 2089 Репутация: N Группа: Адекваты

    Spritz 22 марта 2009 г. 21:16, спустя 9 минут 49 секунд


    md5 не подходит так как по ТЗ нужна функция востановления того же пароля.
    А для написания декодироания md5 я еще не дорос =)

  • ubica

    Сообщения: 530 Репутация: N Группа: Кто попало

    Spritz 22 марта 2009 г. 21:21, спустя 5 минут 25 секунд

    Professor, и не дорастешь, т.к. декодирование невозможно в принципе. восстановление пароля обычно делается либо сменой пароля на рандомный и отправка его мылом, либо парню отправляется ссылка "сменить пароль" с маркером смены пароля

  • Lirck

    Сообщения: 1658 Репутация: N Группа: Джедаи

    Spritz 22 марта 2009 г. 21:25, спустя 3 минуты 20 секунд

    Professor, ну объясни заказчику что так буит безопаснее, сольют твою базу нахер и чо делать???

  • phpdude

    Сообщения: 26646 Репутация: N Группа: в ухо

    Spritz 22 марта 2009 г. 21:34, спустя 9 минут 45 секунд

    aivee, ты думмаешь там инъекций не будет? ))))))) так что шифрование пароля е самая страшная вещь
    Сапожник без сапог

  • Professor

    Сообщения: 2089 Репутация: N Группа: Адекваты

    Spritz 22 марта 2009 г. 21:39, спустя 4 минуты 57 секунд


    Professor, и не дорастешь, т.к. декодирование невозможно в принципе. восстановление пароля обычно делается либо сменой пароля на рандомный и отправка его мылом, либо парню отправляется ссылка "сменить пароль" с маркером смены пароля

    Это шутка была =)

    Professor, ну объясни заказчику что так буит безопаснее, сольют твою базу нахер и чо делать???

    Мне завтра уже сайт сдавать надо =)
    И заказчик не хочет разные пароли. Он 1 запомнить не может и надо чтоб ему когда захочет напомнилось =)

  • Professor

    Сообщения: 2089 Репутация: N Группа: Адекваты

    Spritz 22 марта 2009 г. 21:41, спустя 1 минуту 29 секунд

    Меня вот интересует безопасность сессий.
    такой кусок кода безопасен? или тоже можно как нить исхитриться?
    …e.id_message WHERE privileges_message.id_group=".$_SESSION['group']."…..

  • ubica

    Сообщения: 530 Репутация: N Группа: Кто попало

    Spritz 22 марта 2009 г. 22:20, спустя 38 минут 53 секунды


    Меня вот интересует безопасность сессий.
    такой кусок кода безопасен? или тоже можно как нить исхитриться?
    …e.id_message WHERE privileges_message.id_group=".$_SESSION['group']."…..


    можно исхитриться заставить тебя засунуть в сессию неэкранированную хуйню
    бля, ну почему бы не не привыкнуть экранировать все?)

  • Professor

    Сообщения: 2089 Репутация: N Группа: Адекваты

    Spritz 22 марта 2009 г. 22:32, спустя 12 минут 41 секунду

    Я просто считал что сессии безопасны.

    А каким образом пользователь в сессию может что нить написать?

  • ubica

    Сообщения: 530 Репутация: N Группа: Кто попало

    Spritz 22 марта 2009 г. 22:56, спустя 23 минуты 54 секунды

    Professor, никаким. но ты можешь сам засунуть туда значение из формы или из куки

  • Professor

    Сообщения: 2089 Репутация: N Группа: Адекваты

    Spritz 22 марта 2009 г. 23:28, спустя 31 минуту 53 секунды

    А ,ну если только в этом опасность, то все нормально. =)
    Спасибо.

  • Lirck

    Сообщения: 1658 Репутация: N Группа: Джедаи

    Spritz 23 марта 2009 г. 15:51, спустя 16 часов 23 минуты 2 секунды

    еще презервативы надо использовать

  • Professor

    Сообщения: 2089 Репутация: N Группа: Адекваты

    Spritz 26 марта 2009 г. 15:28, спустя 2 дня 23 часа 36 минут

    А как проверять формат загружаемых файлов.
    И какие расширения в принципе можно разрешать загружать.
    rar,zip,jpg,gif,doc,txt,

  • Lirck

    Сообщения: 1658 Репутация: N Группа: Джедаи

    Spritz 26 марта 2009 г. 15:30, спустя 1 минуту 43 секунды

    те, которые не смогут исполнятся на серваке

  • ubica

    Сообщения: 530 Репутация: N Группа: Кто попало

    Spritz 26 марта 2009 г. 15:31, спустя 50 секунд

    и как перестать задавать вопросы без вопросительного знака.
    проверяй по mime
    разрешай все, если не будешь отдавать по прямой ссылке

  • phpdude

    Сообщения: 26646 Репутация: N Группа: в ухо

    Spritz 26 марта 2009 г. 16:57, спустя 1 час 26 минут 52 секунды


    А как проверять формат загружаемых файлов.
    И какие расширения в принципе можно разрешать загружать.
    rar,zip,jpg,gif,doc,txt,
    почитай как устроен хттп протокол и тогда ты поймешь как можно отдавать файлы и хранить их безопасно на сервере, хоть пхп файлы. просто называй их t.file 2.file 3.file а рядом 1.info 2.info 3.info где вписано изначальное имя этого файла + майме тип которые тебе надо будет передавать человеку

    content-disposition кажется заголовок называется. почитай
    Сапожник без сапог

Пожалуйста, авторизуйтесь, чтобы написать комментарий!

наше все Форум Пользователи Пыхослёт Slack Тикеты
социализация
(ц) пыха.ру / с 2007 года         Total: 0.038s         Часовой пояс — Europe/Moscow
ПИПИСЬКА