Stránka: 1 z 1
| [ Príspevkov: 12 ] | |
| Autor | Správa |
|---|
Registrovaný: 07.08.09
Prihlásený: 07.03.21
Príspevky: 152
Témy: 34 | 34 |
Čavte... je podľa Vás bežpečné robiť výpis údajov z databázy na stránkach, ktoré sú voľne prístupné, t.j. nemalú žiadný login.. Nie sú na nich žiadne formuláre čiže iba čistí výpis z databázy.
|
|
Registrovaný: 11.08.07
Príspevky: 4088
Témy: 34 | 34
Bydlisko: Brno |
Samozrejme, pokial tie udaje maju byt volne pristupne, tak nech volne pristupne su. Ved aj toto forum - uzivatelia, sekcie, prispevky atd., vsetko to je tahane z DB a volne pristupne.
|
|
Registrovaný: 07.08.09
Prihlásený: 07.03.21
Príspevky: 152
Témy: 34 | 34 |
ok len sa pýtam, pretože som čítal o nejakých hackoch ktoré sú cez url adresu. Či len keď nejaké formuláre su na stránke ?
|
|
Registrovaný: 21.02.06
Prihlásený: 08.12.14
Príspevky: 5404
Témy: 30 | 30
Bydlisko: Bratislava |
Ale to nesúvisí s tým, či ťaháš obsah z databázy, alebo nie. Dôležité je, aby si mal stránku dostatočne zabezpečenú a to platí aj pre stránky bez "formulárov".
_________________
Neradím a nekomunikujem cez SS, ak niečo potrebujete, máte iné možnosti: Ak vám zmizla téma, alebo sa vám niečo nepáči. Ak potrebujete nahlásiť príspevok/človeka, reportujte ho. Ak máte s niečim problém, riešte to v danej téme. |
|
Registrovaný: 07.08.09
Prihlásený: 07.03.21
Príspevky: 152
Témy: 34 | 34 |
čo mám chápať ako dostatočne zabezpečenú ? pokial je voľne prístupná. Lebo keď dám login tak ešte chápem ale ?
|
|
Registrovaný: 21.02.06
Prihlásený: 08.12.14
Príspevky: 5404
Témy: 30 | 30
Bydlisko: Bratislava |
Dostatočne zabezpečená - aby si tam nemal nejakú "zraniteľnosť/dieru", ktorú by útočník mohol zneužiť. Vôbec to nesúvisí s prístupom cez heslo.
_________________
Neradím a nekomunikujem cez SS, ak niečo potrebujete, máte iné možnosti: Ak vám zmizla téma, alebo sa vám niečo nepáči. Ak potrebujete nahlásiť príspevok/človeka, reportujte ho. Ak máte s niečim problém, riešte to v danej téme. |
|
Registrovaný: 22.01.08
Prihlásený: 19.04.15
Príspevky: 492
Témy: 135 | 135
Bydlisko: Bratislava ... |
áno, pomocou URL sa dá nabúrať sql...ale ono to sú take veci, ako keď máš /adresa/zaznamy.php?id=1 a nemáš to ošetrené napr, na Is_numeric, v takom prípade sa dajú prevádzkovať cez to nejaké SQL príkazy.
že ti tam niekto dá /adresa/zaznamy.php?id=1%20or%201
tak adresa môže fungovať ako klasický SQL dotaz, a vypíše všetky záznamy.
|
|
Registrovaný: 07.08.09
Prihlásený: 07.03.21
Príspevky: 152
Témy: 34 | 34 | |
Registrovaný: 07.08.09
Prihlásený: 07.03.21
Príspevky: 152
Témy: 34 | 34 |
B.A.X.O : také stánky budú len zopár.... ale keď je normálne nieco.php tak tam sql dotaz nebude fungovať, že ?
|
|
Registrovaný: 22.01.08
Prihlásený: 19.04.15
Príspevky: 492
Témy: 135 | 135
Bydlisko: Bratislava ... |
veď som ti to napísal. ošetruj si hlavne URL adresy...aby ti cez to nikto neprešiel a nemohol si tam robiť svoje príkazy. to je jedna z možností
Ak vieš ako, môžeš si otestovať SQL injection na testovacom webe určenom akurát na tento účel, skúsiť to OR 1=1 a tak http://hakin9.security-portal.cz/
|
|
Registrovaný: 11.08.07
Príspevky: 4088
Témy: 34 | 34
Bydlisko: Brno |
Osetruj vsetko, co prichadza od uzivatela, cize $_GET a $_POST (a $_COOKIE, ak s tym robis nejake kraviny, co pochybujem). Pokial mas len nieco.php a vypisuje sa stale to iste (nezalezi na parametroch v URL), niet co osetrovat.
|
|
Registrovaný: 07.08.09
Prihlásený: 07.03.21
Príspevky: 152
Témy: 34 | 34 |
diki.. to som potreboval. Lebo tie GET a POST už relativne viem ošetriť, mne išlo len o stránku na ktoréj je iba výpis z databázy a okrem toho už vlastne nič...
B.A.X.O : jj ten or 1=1 som skúšal ..
|
|
Stránka: 1 z 1
| [ Príspevkov: 12 ] | |
|
Choď na stránku: