Ochrana PHP skriptov a vy

SHA1 ešte prekonané nebolo a v súčastnosti je najbezpečnejšie.
Salt je dobrá metóda na obranu (není možnosť že v databáze budú dve heslá rovnaké). Okrem hesla by som už nič nehashoval.
Príklad: pri registrácii do db uložím zadaný nick a heslo ktoré sa bude skladať zo zahashovaného nicku+hesla+nejakých blbostí typu hatlamatla stanovených serverom. Pri prihlasovaní overím nick a to heslo (zasa si ho zložím zo zadaného nicku+hesla+tých blbostí) overím s tým čo mám v databáze ak ok tak ok. Ak mi niekto ukradne databázu, nič sa nestane, ak aj prístup ku kódu, tiež nič. Ak niekto získa prístup na server s plnými právami som v peknej ale proti tomu nič neexistuje.

Sha1 prekonané BOLO.

No OK tak bolo, ale sha1 sa dá prelomiť iba útokom brute-force čo je dosť ťažké. Existujú teda v php iné bezpečnejšie riešenia hashovania ako pomocou sha1?

Co znamena bezpecnejsie? Ak ti ide o to aby nikto z hashovaneho stringu nedostal heslo, tak to z velkej casti riesi salto
Pripadne sha1(md5(heslo + salto)) ale to uz su uchylnosti

shaggy: to je salt, nie salto

pokial beriem nieco cez get a viem ze nieje retazec dlhsi ako 10 staci ako ochrana strlen(), a ak ano aky najkratsi retazec by ma mohol ohrozit?
edit...do DB

or 1=1

dobra pripomienka az ma zamrazilo
ale to iba v pripade ze dosadim GET do WHERE a tam pustam iba num

napríklad, ja $_GET proste ošetrujem nejak takto

Nazdar, niekto tu spominal hashovanie Nicku a e-maliu.. (podla mna to je blbost) ale ako napr. chranit udaje ako Adresa, telefónne číslo. to je podľa mňa dôležitejšie ako Nick.

a ešte jedna vec, ja ošetrujem vstupy len pomocou htmlspecialchars() nevidim vyznam tam davat ešte aj addslashes. alebo by sa to dalo neako obísť ? dik vopred.

ochrana dat a ochrana scriptov su 2 uplne rozdielne veci.
ak mam v systeme data ktore potrebujem chranit aj pre pripad uspesneho utoku na system (pristup utocnika k datam a zdrojakom), tak pouzivam sifrovanie pomocou dvojice klucov (data su sifrovane public klucom ktory je na serveri a utocnik ho pravdepodobne zisti, ale desifrovanie je mozne len pomocou privatneho kluca ktory mam len ja a na servery nikde nie je)

keď nepoužiješ addslashes a budeš chcieť vložiť ' tak ti to prinajlepšom vyhodí chybu.

Preto mam medzi otazkami medzeru
ale k teme Goodwill dik uplne som zabudol že sa dáta dajú aj tak šifrovať aby sa dali dešifrovať.

ja addslashes nepoužívam. a samo mi dáva pred uvodzovky lomitka, takže to asi robia magic_quotes.
keby som mal magic_quotes vypnute, tak by mi to hadzalo chyby?
a ešte jedna vec, teda ak mam tie Quotes zapnute a dam tam aj addslashes nebude sa to šahať?

DIKI moc všetkym už som to pochopil , niekedy stači tak malo

mna by zaujmalo ci ta ochrana if is_numeric je sama osebe neprekonatelna tj ci ceznu nieco neprejde zabalene v specialnych znakoch, pouzivam totiz ciselny hash ID-u

Je to bezpecne, ale ak pouzivas prirodzene cisla, skus is_int() || ctype_digit().

Dnes som natrafil na jednu zaujímavú funkciu, ktorá by mohla toho vyriešiť dosť za nás:
http://php.net/manual/en/function.filter-var.php

Myslim ze to je nie postacujuce...

a čo bys tam ešte dal?

hm, preco riesite sqlinjection na urovni filrtovania vstupu do php ? keby ste pouzivali prepare http://www.php.net/manual/en/mysqli-stmt.prepare.php tak by " or 1=1" ostalo stale hodnotou a nie sucastou commandu.

asi preto, lebo nie kazdy ma moznost pouzivat mysqli a hodnoty z $_GET sa nepouzivaju len na pracu s db

no dobre ale selectovanie typu "select 'a' from table" hadam existuje v MySql

existuje, ale narazal som na prepared statement (vstavanu funkciu)
mozno niekomu pomoze: SQL Injection Cheat Sheet

smutne ze prepared statement nieje standardne k dispozicii. priznam sa ze o MySql a PHP viem minimum az takmer nic ale mohlo by zafunngovat nieco taketo :

v mysql je ps dostupne, ale v php nie je na to podpora, a tak je jednoduchsie osetrit vstup priamo v php, ako to zlozitejsie riesit v sql...

tak to je riadna dekadencia pisat este v php 4

nj, ale cudoval by si sa, na kolkych firemnych serveroch je este nainstalovana stara verzia php...

poznam jeden velmi velky portal, ktory nemoze prejst na 5 kvoli spatnej nekompatibilite jedneho modulu. Ale ak sa nemylim, php4 uz nema ani security updates

Mimochodom, niektore frameworky vedia simulovat prepared statements. Nakoniec aj tak iba escapuju, ale nemusite to robit rucne. Mne sa lepsie pise ako samozrejme ak ide o cislo, pouzivam intval alebo nieco pribuzne

vytvoril som si testovaci skript, kde je iba MySQL dopyt

nie je to teda nijak chranene a prepisanim linku v adress bare browsera je mozny sql injection. je tak?
potom by teda sql injection mohol vyzerat v adress bare takto


tu je ale moj "problem" alebo skor otazka, ze preco mi to tak nejde? mysql dopyt sa vykona s tou jednotkou, ale dalej ten dopyt proste nepokracuje a ziadny DROP sa nevykona. takisto, ked do skriptu napisem rovno ten dopyt takto

vykona sa iba jeho prva cast, teda SELECT.

ako je to mozne? som teda voci sql injection imunny a ziadne operacie uz s tym $_GET[id] robit nemusim?

myslim ze chyba je v tom, ze dotaz DROP TABLE nemas ukonceny bodkociarkou, a taktiez by asi trebalo "odstranit" ukoncovaci apostrof, medzi ktore vkladas premennu '$_GET[id]'

skus na koniec dopisat bodkociarku a dve pomlcky, cize


EDIT: neviem ako ti to zobere prehliadac, kedze to je link s medzerou, ale ak by si to dal do vstupneho textoveho pola formulara, malo by to ist