hej, wam moga sie te pytania wydac glupie ale coz:

1. po co tyle kodowan znakow, skoro i tak wiekszosci sie odradza ich uzywanie? czytalem w wikipedii o niektorych i w 90% jest 'odradza sie jego uzycie, gdyz powoduje błedy w czymstam', albo 'gdyz jest niekompatybilna'. w samym mysql nawet dla utf sa cztery odmiany, po kazdej dla jezyka, latiny, a i tak kazdy ci doradza uzycie generatl_utf8... tak wiec po co tyle kodowan, BOMy, nie BOMy, ktore sprawiaja czeste bledy w kodowaniu, skryptach?
2. czy mozna shakowac jakos strone poza wprowadzaniem danych z formularza? wiem ze formularze sa najbardziej wrazliwe wiec nalezy dawac ich jak najmniej oraz filtowac. ale czy da sie jakos shakowac strone nie z formularzy czy linku url? tutaj akurat nie musicie podawac przykładow, tylko jakbyscie mogli zwrocic uwage na co uwazac :P

cos tam jeszcze miałem zapytac ale zapomnialem dopisze jak sobie przypomne

Ad. 1) bo świat ewoluuje i to co kiedyś wydawało się dobre, po jakimś czasie okazuje się błędne/niewystarczające. W międzyczasie różni ludzie próbują znaleźć różne rozwiązania niektórych problemów, na które trafiają i jakieś rozwiązanie albo się przyjmuje, albo nie.
Ad. 2) http://bit.ly/RYzmj8

Strona o atakach, a sama została uznana za zainfekowaną.

2. Formularzy trzeba dawać tyle ile potrzeba w danej aplikacji i robić je tak, żeby było dobrze. Jak korzystasz z frameworka, albo chociaż samego PDO to o bezpieczeństwo martwić się nie musisz.
Aby "shakowac" stronę można podać dane zarówno metodą POST jak i GET, a nawet i w COOKIES

Bez żartów. A jak już to do działu "Humor".

@up
Ja dla pewności bym poczekał na odpowiedź jednego z właścicieli najlepszej polskiej strony dot. bezpieczeństwa .


Najmniej? Ma być formularz to jest formularz. Nie ma go być, to go nie ma. Nie widzę sensu w ograniczaniu ilości formularzy ze względu na bezpieczeństwo strony.


Złe zabezpieczenie formularza jest winą programisty. Równie dobrze programista mógł źle zabezpieczyć coś innego.

Mógłbyś to jakoś rozwinąć? Ja do tej pory używając Doctrine 1.2 i PDO byłem pewien, że jestem "bezpieczny".

Ale sql injection to nie jedyny typ ataków na strony www. PDO nie uchroni cię przed session fixation itd.

Ale przed 'session fixation' nie trzeba zabezpieczać wszystkich formularzy i połączeń z bazą. Ponadto wystarczy uważać gdzie się wchodzi będąc zalogowanym lub po prostu zabezpieczyć się kodem:

[PHP] pobierz, plaintext 
 
<?php
session_start();
 
if (!isset($_SESSION['inicjuj'])) {
    session_regenerate_id();
    $_SESSION['inicjuj'] = true;
    $_SESSION['ip'] = $_SERVER['REMOTE_ADDR'];
}
 
if($_SESSION['ip'] != $_SERVER['REMOTE_ADDR']) {
    die('Proba przejecia sesji udaremniona!');      
}
?>
[PHP] pobierz, plaintext 

edit: ucięło mi część posta.

I co to jest?

Niebezpiecznik tego nie złamie

Prezes unimila byłby z ciebie dumny.

A co jeśli mechanizm sesji zapisywany jest do bazy danych?PDO nie uchroni przed atakami na sesje, należałoby się wtedy dodatkowo zabezpieczyć.

Miałem oczywiście na myśli formularze. Nie wiem czy nie rozumiesz kontekstu, czy tylko udajesz tylko po to, by pochwalić się jaki jesteś mądry.

Gdzie tam, 12 lat mam, więc nie muszę. Z kontekstu wynika że napisałeś głupotę, zarówno odnośnie formularzy jak i PDO, ale nie martw się, kiedyś Ci się uda i każdy będzie wiedział o czym myślisz, zanim pomyślisz. (ups)

Adi32 - to że ktoś, kiedyś napisał iż PDO z bindowaniem jest bezpieczne, chroni przed sql injection. Nie znaczy że jest to zabezpieczenie kompletne, we wszystkim i już nikt, niczym nie zrobi Ci kuku.

Chroni tylko i wyłącznie przed tym rodzajem ataku. Do ochrony przed xss -dobra walidacja pól tekstowych, do session fixation protokoły: ssl, IPsec, krótki czas życia sesji(lub regeneracja id sesji), flagi httponly na ciasteczka również itp.To chyba takie podstawowe metody.

widze ze ostra dyskusja sie zaczela xd ale moze znajdziecie czas, przypomniało mi sie 3 pytanie:

czesto w jakis programach, aplikacjach, stronach na stopce jest napis v.x.x, np. v.1.12 czy v.2.0.0.1, jak to sie nazywa? dokumentacja, historia zmian? kiedys pamietałem ale gdzies mi to umknęło. i jakie sa zasady nadawania kolejnych 'wersji'? sa jakies odgorne czy jak sie komus podoba? i czemu to słuzy?

Wersja produktu.

To się nazywa... wersja.

Co do numerowanie wersji, jest kilka popularnych konwencji, ale jedną z powszechniejszych, i w moim zdaniu najlepszych jest trójliczbowa z ewentualnym dopiskiem n/t wydania. Przykładowo: 2.0.1-ALPHA, gdzie pierwsza liczba to główne wydanie, druga to "podwydanie", a ostatnia to po prostu numer kolejnego wydania w obrębie serii. Dopiski -SNAPSHOT, -ALPHA, -BETA, -RC1..n, -RELEASE wydają się być oczywiste.

http://php.pl/Wortal/Artykuly/Pomysly-pora...wanie-aplikacji
Jest nawet artykuł o tym. ;]

ChangeLog?

http://pl.wikipedia.org/wiki/Numeracja_wersji_oprogramowania ?

!*!. Nie chce mi się Ciebie komentować. Mowa była o samych formularzach, a Ty wyjeżdżasz z błędami niezwiązanymi z formularzami.


Przed tym też framework chroni.

w Symfony, w Twigu, jest "automagiczne htmlspecialchars". Aby wyświetlić html wraz z "parsowaniem", należy uzyć filtru raw bo domyślnie jest ochrona przed xss.

Rozumiem, też czasami jest mi trudno przyznać się do błędu, ale mógłbyś chociaż pamiętać o czym piszesz.

Nie zauważyłem, aby michat34 pytał o to co jest w jakimś FW (co sam wyżej stwierdziłeś). A mowa jest o danych z formularza. Piszesz bzdury o tym że PDO przed czymś chroni, jak tak nie jest, bo nawet nie wspomniałeś o bindowaniu, co jest zupełnie czymś innym i wierzchołkiem góry. Wspominasz ciągle że FW przed czymś Cie chroni... to fajnie, jednak gdy całość jest źle napisana, to żadne mechanizmy w FW Ci nie pomogą (już nie wspominając o tym że co FW to inna logika).

Niczego takiego nie stwierdzałem.

Zauważyłem

I dla tego nie powinienem pisać ani o PDO ani o Frameworku ? Skoro autor pytał się o zabezpieczanie formularza, to napisałem, że PDO i Frameworki o bezpieczeństwo dbają, co miało zachęcić autora do zainteresowania się tym.


Jeśli powiem, że noszenie kamizelki kuloodpornej chroni klatkę piersiową przed pociskami, to też będziesz to kwestionował i mówił, że nie mam racji, bo przecież taka kamizelka noszona w kieszeni wcale klaty nie ochrania ?


Z założenia mam na myśli prawidłowe stosowanie. Nie pisałem instrukcji do leku, gdzie muszą być opisane szczegółowo skutki uboczne oraz instrukcji jak prawidłowo ten lek stosować. Ja tylko wspomniałem o tym, że jest coś takiego jak PDO oraz frameworki i one biorą na siebie odpowiedzialność za walidację formularza.