Skrypt pisany w dużym pośpiechu, dla rodzinnej działalności.

Czekam na oceny.

firany-sklep.pl

Jakby to były lata 90-te to byłoby ok.

Baner paskudy. Menu się sypie na ff/ubuntu
Formularz rejestracji ma dziwne filtrowanie. Wpiszcie sobie ">lol

Dzięki że napisałeś zaraz tam dam striptag

Wiem że baner paskudny ale musiało być te logo siła wyższa

sypie ci się górne menu...?






Rozwiń myśl prostota nie zawsze musi być zła

Striptag...

Ogolnie masz wszedzie takie bledy ze gdybym widzial sens to bym ci w 5min cala stronke skasowal. Dziura na dziurze

Pisz na priv co i gdzie. Ja nie widzę tych dziur...

no nawet 404 nie ma? ; {

Heh ciekawe jak się tam znalazłeś

PS:
Jak mi piszesz PW to nie zadawaj pytan wyrwanych z kontekstu ws tylu "Choci ci o sesje? Bo skad mam wiedziec skad po co i w jakim temacie piszesz.


Kolejny z zerem Pokory



Nie powinienes tworzyc filtra nie pozwalaj na. Tylko lepiej zastosowac pozwol na ;]

Bo w tym przypadku zabraniasz na wstawianie liter ale niw filtrujesz wszystkiego

http://firany-sklep.pl/index.php?so=1&...p;kat=5&s=0

Uzyj htmlspecialchars i addshlashes

Strona podatna na Sql.injection. Wiec jak najbardziej bym mogl sie wlamac



dodam ze za testy penetracyjne sie placi

Że też ludzie uwielbiają zdradzać swój login do panelu. To kto teraz odgadnie hasło? Czas start.

Masz coś nie tak z linkami http://firany-sklep.pl/nasza_firma_sprzeda..._do_chin-6.html

Człowiek uczy się na błędach

Nie odczytałem wiadomości do końca ograniczenie ilości znaków w rekordzie tablicy sql. Kto był taki mądry...?

Po wywołaniu takiego adresu: http://firany-sklep.pl/nasza_firma_sprzeda..._do_chin-9.html
Dostałem to: brak strony lub pruba włamania.

Może coś innego, albo chociaż poprawnego pod kątem ortografii?
A teraz coś większość podstron sypie 404.

--
A pod kątem wyglądu:
- brzydki formularz rejestracji
- w kontakcie brak mapki albo jakiegoś innego zdjęcia, które obrazuje lokalizację
- regulamin - tzn jest czy go nie ma, bo obecne zapisy w zasadzie to niczego nie precyzują
- treść, a w zasadzie jej brak

A co do ogolnie sesji o ktorej wspomnialales. Nie mam czasu sie teraz w tymgrzebac. Ale uprzedzajc nie wiem czy dales czy nie . Ale jak by co daj session regenerate i time

@up

A wlasnie. Podsumowujac kolege wyzej.
A. Ma sie to podobac odwiedzajacym a nie tobie. Bo ty mozesz miec gust ustosunkowany jako 1% .
B. Jezeli klient juz tak chcial jego sprawa. Chyba ze to twoj pomysl

Wywala error 404 więc chyba już skończona ocena.

Skasowaliście mu stronę? Łobuzy.

Jak to możliwe że jest podatna na sql injection skoro w każdym wejściu do sql jest "mysql_real_escape_string"

Temat: Walidacja danych

Nie, zmieniłem adres

Zrobiłem kopie sql i tp na wszelki wypadek

Macie bawcie się


Może mnie ktoś uświadomić

Jak ktoś zmienił wpis w sql

Przecież to jest niemożliwe

Gdy ja próbuję modyfikować zapytanie przez zmienne post get nic się nie dzieje...

hahhaha. Jak nie mozliwe? Zawsze powtarzam ze programista a osoba od pentestow topokrewne tematy ale nie te same ;]
Polecam taka moja oto klase:

[PHP] pobierz, plaintext 
<?php
class security {
	function sql($value){
		if(get_magic_quotes_gpc()) {
			$value = mysql_real_escape_string(stripslashes($value));
		} else {
			$value = mysql_real_escape_string($value);
		}
		return $value;
	}
 
	function html($value) {
		$value = htmlspecialchars($value);
		return $value;
	}
 
	function addsql($value) {
		$value = addslashes($value);
		return $value;
	}
 
	function strip($value) {
		$value = stripslashes($value);
		return $value;
	}
 
	function all($value) {
		$value = addslashes(htmlspecialchars($value));
		return $value;
	}
}
?>
[PHP] pobierz, plaintext 

Chroni w 100% przed Sql.injection i Xss

tworzysz normalnie security.php

includujesz w pliku wywolujesz :
przykladowo jak u mnie:

[PHP] pobierz, plaintext 
$dane_login = $security->all($_POST['email']);
[PHP] pobierz, plaintext 

Ogolnie nie wiem jak to piszesz ale cms najlepiej obiektowo. Bo wtedy masz pelna kontrole a strukturalnie sie pogubisz.

jak chcesz rady odnosnie jakie moga byc ataki badz jak sie dobrze przed roznymi zabezpieczyc to na pw przeslij mi gg. Bo na Sql i XSS sie nie konczy )





///. H

Rozumiem, że powyższy post jest ironią?

W zadnym wypadku )

@alex011251 - ale Ty to mu na serio polecasz, bo po odpowiedziach sądzę że robisz sobie jaja. Co zresztą tłumaczyłoby "jakość" ewentualnego "audytu" sądząc po klasie.

Fakt dawno ja pisalem. Ale zabezpiecza jak nalezy.

Podaj mi co w tej klasie jest nie tak.

@alex011251 - wszystko. Przejdź na PDO z bindowaniem i całość Ci nie będzie potrzebna, no może poza htmlspecialchars w porywach (nie licząc walidacji).

Dlatego napisalem ze to moja stara klasa. Zabezpiecza? : Zabezpiecza.

Kto stosuje jaka biblioteke , jaki styl tak naprawde jego sprawa.
Wazne ze zabezpiecza :PPP

Nie widzę tam nic, co by zabezpieczało dane w 100% przejrzyj link wyżej jaki podałem, jest tam odnośnik który to opisuje.
mysql_ jest na wylocie, więc trudno Ci będzie pisać w tym w przyszłości.

Ja tam nigdy nie bylem przekonany do PDO i z tego korzystac nie zamierzam. Jak ktos chce niech korzysta.
Jak dalej nie pokazales mi przykladu w ktory bys obszedl moja klase

Jedi stosuja PDO inni MySQLi a inni co innego, moim zdaniem PDO jest bardziej dziurawe, bo nie ma czegos do wszystkiego a jezeli jest to jest nie dopracowane, jak masz MySQLi to masz MYSQLi , a jak PDO ktoe jest do wszystkiego to wiadomo ze cos moze byc nie tak.

Tak szczerze to pisałem bez prawie żadnych include typu header footter. Jedynej klasy jakiej użyłem to phpmail.

Rozumiem że jednym z moich problemów jest użycie srip_tag zamiast addslashes...?

Czy addslashes to wystarczające zabezpieczenie przed xss...?

Aktualnie czytam o PDO

We wszystkich polach GET_ jak i POST_ powinienes stosowac htmlspecialchars i addshlashes.
Dlatego gdyz addshlashes dodaje znaki slasha "/" do zapytan sql . A htmlspecialchars usuwa znaki typu <script> itd.


Daj se spokoj z PDO. Wiecej w tym dziur niz w durszlaku mojej babci

Choćby głupie z przykładu:

[PHP] pobierz, plaintext 
$_POST['email'] = '123; DELETE FROM users'
[PHP] pobierz, plaintext 

choć mysql_query nie powinno przepuścić więcej niż 1 zapytania.

Nie słuchaj @alex011251, nie ma pojęcia o czym pisze.

Jest sens pisać jeszcze raz to samo żeby mniej zajmowało miejsca zmaist stripslashes($value) strip($value)...?

rozumiem że addsql nie służy do GET POST...?

Dlatego przed tym masz dodana klase ktora zabezpiecza przed tym . A ty pokazujesz czesc kodu usuwajac klase security.


Joordan powyzsza klasa jest na rozne przypadk rozne prywatne zastosowania. tak naprwde wystarczy ci funkcja all w moje klasie.


Nie powinno?? haha. Nie no. Nie nie powinno tylko nie przepuszcza

Nie zabezpiecza przed tym. Po prostu wykona się tylko 1 zapytanie, zapomniałem.

Moje tematy robią furorę na tym forum

Bo to takie czcze gadanie. Bo to jest lepsze a to nie. Klotnia jak windows czy linux. Zalosne.


Dziala i spelnia standardy programowania wszelakie. A skoro ktos woli PDO to jego sprawa.

Korzystaj z tej klasy. Nie wierzysz ze bezpieczna to potestuj nie wrzucal bym ci czegos czego nie jestem pewien.


Pozdrawiam

Tutaj nie powinien być addslashes zamiast stripslashes, Nierozumiem...

[PHP] pobierz, plaintext 
	function sql($value){
		if(get_magic_quotes_gpc()) {
			$value = mysql_real_escape_string(stripslashes($value));
		} else {
			$value = mysql_real_escape_string($value);
		}
		return $value;
	}
[PHP] pobierz, plaintext 

Do sql nie powinien być zapisywany tekst w formie <P id/=/'awe/'>
A z sql wczytywany z addslashes

Zamiast htmlspecialchars nie lepiej urzyć strip_tag ...?

@joordan jak już ktoś wcześniej wspomniał, nie bierz sobie słów i kodu @alex011251 do serca, bo zwyczajnie chłopak nie wie co czyni.

Czyli:

[PHP] pobierz, plaintext 
stripslashes()
 
addslashes()
 
htmlspecialchars()
 
mysql_real_escape_string()
 
strip_tags()
[PHP] pobierz, plaintext 

Tak naprawdę nic nie dadzą przy zabezpieczeniach zmiennych...? Nie rozumiem to po co to komu...?

A tak na marginesie to kto mi zrobił ten dowcip w sql...?

Po coś w końcu powstały, trzeba wiedzieć jak i gdzie ich użyć a nie stosować na rympał gdzie popadnie. Odpowiedz sobie pierw na pytanie co chcesz zrobić, jakie to dane i jaka jest ich rola później.

Jak już pisałem, mysql_ wylatuje z PHP, więc im szybciej pojmiesz PDO tym lepiej. http://pl.wikibooks.org/wiki/PHP/Biblioteka_PDO tu jest w miarę dobry opis, koniecznie stosuj bindowanie, a nie będziesz mieć tych problemów co wyżej.

Nie ma sensu dyskusja z wami. Napisz moze koledze , wytlumacz bo poki co tylko uzywasz samych ogolnikow
Ja sie juz nie mieszam bo tu kazdy pozjadal wszystkie rozumy.

I ta klasa "security" to jest przykład programowania obiektowego? To już lepiej wpakować to w kilka funkcji security_*, po co w ogóle tworzyć obiekt "security"? Dla jakiejś zasady, czy po to żeby sobie metody wywoływać i nazwać OOP?
Tylko nie tłumacz już, że to stara klasa bo to jest raptem kilka linijek, które można w minutę przepisać i pokazać początkującemu porządny kod...


Dodaje backslashe "\"...


Chroni jak wie się co się robi. Nie wystarczy magiczna funkcja "panaceum_na_xss_i_sqli". Przykład?

[PHP] pobierz, plaintext 
$s = new security;
$id = $s->sql("0 OR 1=1");
$sql = "SELECT `superduper_user` from `t1` where id={$id}";
[PHP] pobierz, plaintext 

Bierze później początkujący taką magiczną funkcję na wszelkie SQLI i XSS i robią się jaja bo nie pomyśli, że $id to powinien być int i przydałoby się to zwalidować i przefiltrować pod tym kątem (choćby rzutowanie lub FILTER_SANITIZE_NUMBER_INT).

mysql_real_escape_string nie waliduje operatorów OR AND...?

Jeśli kogoś uraziłem swoją suchą wypowiedzią to przepraszam. Wiem że strona jest dziurawa nie ściągnełem jej żebyście mieli zajęcie.

http://php.net/mysql_real_escape_string

Cześć.

Jeśli chodzi o samo SQL Injection najlepiej korzystać z zapytań predefiniowanych. Nie musisz do tego używać PDO, MySQLi już ma zorientowaną obiektowo obsługę takich zapytań. Użytkownika @alex011251 w ogóle nie słuchaj, bo ten jego "kod" to jakiś śmieszny żart.

Natomiast jeśli chodzi o XSS polecam stosowanie systemu szablonów, który dodatkowo porządkuje kod - np. Twig.

[PHP] pobierz, plaintext 
	function add_sql_where($value){
		if(get_magic_quotes_gpc()) {
			$value = mysql_real_escape_string(stripslashes($value));
			$value = filter_var($value,FILTER_SANITIZE_NUMBER_INT);
		} else {
			$value = mysql_real_escape_string($value);
			$value = filter_var($value,FILTER_SANITIZE_NUMBER_INT);
		}
		return $value;
	}
 
		function add_sql_update($value){
		if(get_magic_quotes_gpc()) {
			$value = mysql_real_escape_string(stripslashes($value));
		} else {
			$value = mysql_real_escape_string($value);
		}
		return $value;
	}
 
	/////show_in_html
		 htmlspecialchars($value);
 
 
[PHP] pobierz, plaintext 

Tak będzie dobrze ...?

http://forum.php.pl/index.php?showtopic=23258 a żeby być bardziej na czasie, zacznij czytać tak od 18 strony.

Podsumowujac. Widocznie na wszystko znajdzie sie obejscie.
Wiec nie wiem czy ktos sie ze mna zgodzi ale najlepiej jest nie korzystac ze zmiennych globalnych tylko samemu pisac ktore znaki maja byc dozwolone. Nie ktore nie dozwolone bo to za dlugo grzebania.

Z reszta zalozmy za te 3lata moze ktoras z tych "super" zabezpieczajacych funkcji wygasnac i wtedy wszystko staje sie dziurawe.Tak jak moja staaaara klasa.

Pouczyłem się z PDO i sam nie dowierzam jakie to jest proste i jakie wygodne w użytkowaniu.

[PHP] pobierz, plaintext 
 
try{
	$pdo = new PDO('mysql:host=localhost;dbname=firany;encoding=utf8', 'root', '');
	echo 'Nawiązałem połączenie';
}
 
catch(PDOException $e){
	echo 'Błąd:'.$e->getMessage();
}
 
$res1 = $pdo->prepare('INSERT INTO `user` (`nick`) VALUES (`:nick`) ')
$res1->bindValue(':nick', $_GET['nick'], PDD::PARAM_STR);
$res1 ->execute();
$res1 ->closeCursor();
 
$res2 = $pdo -> query('SELECT `nick` FROM `user`');
while ($row = $res ->fetch()) {
	echo(htmlspecialchars($row[0]));
}
$res2 ->execute();
$res2 ->closeCursor();
[PHP] pobierz, plaintext 

Czy powyższy kod jest bezpieczny...?

@joordan: świetny pomysł z tą nazwą tabeli "urzytkownicy". Teraz biedni hakerzy będą próbowali skasować dane z nieistniejącej tabeli "uzytkownicy", o ile znajdą jakąś lukę. Chyba sam muszę zastosować podobną metodę

No ba To napewno wina auto uzupełniania w edytorze

A tak na serio to opłaca się w ogóle bawić w escapowanie procedur składowania