Witajcie
Mam na stronie usuwanie newsów poprzez panel. Jak zrobić aby przy kliknięciu w usuń generowało losowy link, jakiśdługi, i później sprawdzało poprawność w _GET page?
Drugie pytanie polega na tym, jakie są zabezpieczenia do PHP i MYSQL, oprócz SQL Injection?
Pełna wersja: [PHP]Kodowanie Linku
Cytat(Matimor @ 9.11.2009, 21:32:28 ) 
Drugie pytanie polega na tym, jakie są zabezpieczenia do PHP i MYSQL, oprócz SQL Injection?
WTF?
SQL Injection to zabezpieczenie?
od kiedy? ja myślałem, że to atak
EDIT
co do pierwszego pytanie to nierozumień
jeśli tu wygenerujesz jakiś losowy kod, to skąd skrypt odbierający będzie miał ten kod do porównania?
no chyba ze chcesz zapisać go w bazie
EDIT 2
co do losowego kodu
to można to zrobić tak:
$kod = MD5(mt_rand(1000000,9999999));
1.
SQL Injection to raczej przeciwienstwo zabezpieczenia. Technika za pomoca ktorej moga Ci sie wlamac do MySQL i all pozmieniac / powykradac i co tam tylko haxiorom do glowy przyjdzie.
Innym popularnym sposobem do ataku na strony jest XSS. Prosty przyklad
Brak filtrowania zmiennej
Ten kod od razu wyswietli zmienna $tekst, np komentarz na strone. Ale co jezeli w polu wpiszemy jakis kod html? Przegladarka tekst zinterpretuje jako HTML/JS, np.
Po najechaniu myszka na nasz komentarz wyswietli sie alert. To akurat minejszy problem. Co jezeli ktos wpisze JS, walnia jakas petle, albo wyciagnie od nas w ten sposob jakies poufne dane? Np. wysylajac lewy link na ktory klikniemy? No ale to juz sobie doczytasz o tym.
Sposob zabezpieczenia. Akurat przed tym co podalem, wystarczy proste
ucina wszystkie taki HTML wiec w ten sposob juz nam raczej nie rozwala strony.
Ale sa jeszcze inne metody, sposoby, warto po googlach poszperac.
[/php]
SQL Injection to raczej przeciwienstwo zabezpieczenia. Technika za pomoca ktorej moga Ci sie wlamac do MySQL i all pozmieniac / powykradac i co tam tylko haxiorom do glowy przyjdzie.
Innym popularnym sposobem do ataku na strony jest XSS. Prosty przyklad
Brak filtrowania zmiennej
Ten kod od razu wyswietli zmienna $tekst, np komentarz na strone. Ale co jezeli w polu wpiszemy jakis kod html? Przegladarka tekst zinterpretuje jako HTML/JS, np.
Po najechaniu myszka na nasz komentarz wyswietli sie alert. To akurat minejszy problem. Co jezeli ktos wpisze JS, walnia jakas petle, albo wyciagnie od nas w ten sposob jakies poufne dane? Np. wysylajac lewy link na ktory klikniemy? No ale to juz sobie doczytasz o tym.
Sposob zabezpieczenia. Akurat przed tym co podalem, wystarczy proste
ucina wszystkie taki HTML wiec w ten sposob juz nam raczej nie rozwala strony.
Ale sa jeszcze inne metody, sposoby, warto po googlach poszperac.
[/php]
więc tak najlepszym sposobem jest parsowanie na int (czyli na liczbę całkowitą takie jakie musi być id w bazie).
co do to poczytaj artykułu tego pana: http://www.beldzio.com/kategoria/bezpieczenstwo, zna się na sprawie i dobrze tłumaczy to w swoich artykułach.
co do to poczytaj artykułu tego pana: http://www.beldzio.com/kategoria/bezpieczenstwo, zna się na sprawie i dobrze tłumaczy to w swoich artykułach.
Hmm co do znaków HTML czy to nie wystarczy? Ja tak tworze kody 
Podstawowy:
Mój:
Podstawowy:
Mój:
mysle ze strip_tags jest lepsze od htmlspecialchars. Ta ostatnia zostawia po sobie jakies smieci.
Przyklad
Strip_tags ladnie ucina te tagi, no ale to juz kwestia gustu/stylu/przyzwyczajenia.
Przyklad
Strip_tags ladnie ucina te tagi, no ale to juz kwestia gustu/stylu/przyzwyczajenia.
Dobra żeby nie robić nowego tematu, zadam tu kolejne pytanie. Jak dodać BB Code do stronki? Mam swoją strone i są tam prywatne wiadomości, chcę dodać do tego BB Code, aby było użytkownikom wygodniej pisać.
To jest wersja lo-fi głównej zawartości. Aby zobaczyć pełną wersję z większą zawartością, obrazkami i formatowaniem proszę kliknij tutaj.