Ochrana PHP skriptov a vy

Ako sa bránite proti PHP injection vo svojich skriptoch? Aké metódy sú podľa vás účinné? Taktiež, ako sa bránite proti otváraniu nechcených PHP súborov ako sú súbory s prihlásením sa na DB a heslami? Diskusia...

Viac o PHP injection tu.

K PHP injection, include() iba cez premenné, súbory zašívam do priečinka a nepridávam do adresy príponu. Čo sa týka otvárania súborov používam metódu známu z phpBB:

hej to z phpBB robim aj ja:D potom este pouzivam jednu fciu a to:



co si vlastne ked mam nejake get a post premenne tak si ich takto osetrim a viem ze na mna ziadne sql injection neplatia.

potom este definujem premennu s priponov php



a v tom subore includujem config kde mam udaje s databazov. a a hned po scripte fciou unset() zmazem premennu heslo a table prefix.
a nazaver ked potrebujem nieco nechat len pre adminov nejake filezz tak osetrujem hned na zaciatku tak ze vyberiem session z databazi a zistim aky ma rank. ak zly tak ho presmeruje na index.
a aby som nezabudol za kazdym sql query davam

Zobrazovanie chybových hlášok (podľa mňa) nie je najlepší nápad. Môžeš tým potencionálnemu útočníkovi prezradiť príliš veľa informácií.

no z toho co som dal. by si moc toho nevyrozumel. kedze si zober. nevies nazov tabulky ani databazi nic. poznas len subor. a to poznas aj na phpBB , drupal, phpfusion a mnoho dalsich, to by ma moc neiritovalo

by si sa dosť okakal, ale musím ťa sklamať.. addslashes je slabá ochrana.. niekde som o tom čítal článok, keby ho nájdem tak ti ho pošlem.. išlo o to, že addslashes pracuje istým princípom, a dá sa ho oklamať tak, aby niektoré znaky zle "chápal"

ako myslim si ze na nejaky sql injection staci
ale to neznamena ze adslashes nemozem zamenit za str_replace alebo ereg_replace
kde budem odchytavat iba text a cislice. ak budem odytavat iba stringy a cilice tak uz to nemoze nikto o....t. kazdemu podla jeho chuti ale kazdopadne. ziadna obrana nieje dokonala a vzdy sa najde nejaky spekulant ktory to dokaze "obist". napr. koho z vas napadlo ochranovat proti sql injection aj nazvy uploadovanych suborov? lebo ak niekto da vazov suboru ako select * from name_of_table where id = 0 -- ??lebo aj to je druh injections

Ešte ma napadla zaujímavá ochrana, okrem základného define z phpBB, čo som už vyššie písal, tak aj ochrana cez $_SERVER:



Sú tam dve rôzne "porovnávačky" s $_SERVER['DOCUMENT_ROOT'] pretože skript robím aj u seba na localhoste, ale aby to aj platilo na už skutočnom serveri...

neriešim použijes .hdacess na to aby si útočník nemohol prezerať súbor s pripojovacími nastaveniami

2. rada použite aj obmedzenia pre robotov aby vam admin stranky neindexovali

prave toto by som nerobil pretoze ten subor sa da velmi lahko vygooglovat a prezret, takze vies kde sa tie admin stranky nachadzaju. naopak ked o nich nemas ziadnu zmienku google ti ich neindexuje, ved ako by aj mohol ked sa k nim nevie prihlasit.

prvykrat citujem sam seba ale k veci. nemyslim ze google a ani iny bota je az taky mocny hackersky nastroj ze to dokaze obist cize to bude neindexovatelne

spravne suchy beriem späť

Hm, ja mam stranky robene tiez sposobom inckude, ale mam to takto:

Cize nemam tam priamo GET, ale po includovani URL vyzera nejako takto ... /index.php?page=2. Je aj tento sposob ohrozeny?

Na niektorych strankach, kde mam uploadnute clanky, vyzera URL takto: index.php?ID=2 /kde ID je vlastne ID clanku/

Viete mi poradit jednoduchy sposob, ako toto ochranit od SQL a kadejakych inych injection?

Vdaka, rad sa poucim...

na tvoj konkretny skript je sql injection nepouzitelna. co sa tyka ochrany pred nim, mame tu trebars direktivu magic_quotes_gpc, alebo funkcie mysql_real_escape_string() pripadne addslashes(). zakladom ochrany je filtrovat uzivatelsky vstup, v pripade xss aj vystup. napriklad odfiltrovat nechcene tagy, ci atributy tagov, pripadne odfiltrovat vsetko okrem plaintextu. dalej je dobre mat osetrene chybove hlasenia, bo tie dokazu tiez dost napovedat a takto by sme mohli pokracovat. ohladom bezpecnosti webaplikacii je to na dlhsiu debatu, vysla o tom aj celkom zaujimava kniha Zranitelny kod.

a co napr. php injection? ked niekto dosadi namiesto adresy index.php?page=2 nejaky svoj script napr. index.php?page=http://www.necomoje.ic.cz/hack.php ako je uvedene napr. tu http://www.chill.sk/clanky/php-injection/?

Alebo druhy pripad, ked mam uz spominane index.php?ID=2 /kde ID je vlastne ID clanku/ ? Jedna vec su vstupne data, ktore sa osetrit daju, ale druha vec je ak mi namiesto adresy dosadia kadejake svoje scripty, ktore potom includuje namiesto mojich a zobrazi sa obsah mojich scriptov /napr. pomocou show source.../

ak dosadi namiesto page=2 page=http://www.necomoje.ic.cz/hack.php a ak je script cez switch tak potom hodi na uvod.php

a v tom id ak je prenasane napr: id clanku ktore ma byt otvorene tak by najjednoduchsie riesene by bolo ze preskumas to ci to je ciselna hodnota a nech tam niesu takmer ziadne znaky a dalsie a az potom to das prejst cez databazu + aj tam to dajak osetri

ale tam uz naj niekto iny hodi navod

hmm... Mohli by ste mi vypisat nejake najdolezitejsie funkcie na ochranu pred hecknutim alebo niecim podobnym? pripadne nake caste chyby zacaíatocnikov aby som sa ich vyvaroval

filtrovat vsetky vstupy a vystupy. najlepsie sposobom nazyvanym whitelist. znamena to odfiltrovat vsetko co nieje povolene. funkcii na osetrovanie vstupov a vystupov php zopar ma, najdes ich na php.net. pre svoje ucely si mozes dopisat vlastne. dalej je potrebne potencialne nebezpecne data skryvat pred uzivatelom, napriklad chybove hlasenia php pasera, pripadne mysql servera, neukladat mena s heslami do cookies. tiez ti pomoze kontrolovat odkial data prisli, akou metodou, ich datovy typ, atd.

dikes

ja tu knizku mam celkom zaujimave citanie a dost ma to naucilo Neni este nieco? alebo toto ked dostanem do praxe bez chyb tak budem proti noobikom zahojeny? proti detom co si stahnu nejaky soft a idu hackovat? co ani riadok kodu nedokazu napisat? Lebo mi je jasne ze ked nekdo(myslim tym trosku(trosku ako trosku ) zbehlejsieho cloveka v takychto praktikach) si povie za ma hackne tak ma hackne A ak mas nejake podrobnejsie clanky k konkretnym typom problematiky tak posli linky pls ak sa ti nechce tak nechaj tak

dolezite je mysliet ako lamer co sa ti snazi naburat chod tvojej sajty.. ked vies ake prostriedky moze hacker pouzit vies aj ako sa proti nim branit

podobnymi slovami sa riadil kamarat mno ale nejak sa to otocilo ked zacal do toho sturat a teraz je na druhom brehu ale nie taky lamerko ale tak trosku viacej

ono. ked mas zaklad a nieco sa ti podari tak musis uznat ze to dost laka

ono je to pravda, ja som bol na tom tak, ze som mal vzdy strach (zacnem nieco a odhalia ma) a nakoniec som sa ku nicomu nedostal a nic sa mi nepodarilo .
Avsak sestrin frajer bol v tom profik, robil tuto peknu zabavku dlhe roky ale len vo veci zabavy, ziadny zarobok, no nechal toho a teraz robi v oblasti internetovej bezpecnosti.

jj prosto mas vzdy naviber ako manipulovat z informaciami ci uz pojdes cestou skodcu a mas sancu zarobyt bud prachy alebo basu abo mas sancu na pracu a moznost uplatnit nadobudnute informacie a tiez sa dostat ku peniazom

na take a rozne ine otazky by sa dalo diskutovat, takze radzej sa venujme vyhnut napadnutiu vasim strankam a informaciam

Teraz som vyhrabal celkom užitočný seriál:) Je tam niečo aj o bezpečnosti atp: http://pc.server.sk/---programovanie-ph ... gory-je-19

zopar uzitocnych clankov o security http://www.hakin9.org/prt/view/clanky.html

suchy konečne niečo čo som potreboval ... keby mal niekto viac článkov (stručných) o hackovaní tak by som potrosil. Chcel by som to vedieť so strany útočníka. Mám Hacking bez tajemství, som na nejakej 40 strane a vôbec ma to nebaví. Pripadá mi to ako hackovanie Win95.
Ja osobne by som to chcel vedieť výborne a chcel by som si kúpiť nejakých bezpečnostných profíkov aby som to mal bezpečné ...

Ja mám knihu Zraniteľný kód a tam sa dočítaš o chýbach, ktorých sa môžeš dopustiť...

no ja sa chýb nedopúšťam

ok pozriem si ju

Veľmi pekne ďakujem, už ju mám aj objednanú