Это - первый опыт, но вроде получилось неплохо)
Код
PHP |
<?php session_start(); |
Спустя 1 минута, 15 секунд (24.06.2009 - 01:22) СЧ Лунный написал(а):
Сообщение обрезолось) Но, там дальше просто закрывается див, боди и ХТМЛ)
Спустя 32 минуты, 37 секунд (24.06.2009 - 01:54) FatCat написал(а):
СЧ Лунный
Чуть-чуть помог с оформлением. Вроде ничего не попортил.
Чуть-чуть помог с оформлением. Вроде ничего не попортил.
Спустя 10 минут, 9 секунд (24.06.2009 - 02:05) СЧ Лунный написал(а):
FatCat , спасибо)
А насчёт безопасности - всё нормально? Первый опыт, непосредственно на заказ и волнуюсь поэтому немного) Но, по идее, если нет админской сессии, то никто не сможет получить доступ к странице? И то, что нет проверки данных из формы не страшно? Основной вопрос тут в этом.
А насчёт безопасности - всё нормально? Первый опыт, непосредственно на заказ и волнуюсь поэтому немного) Но, по идее, если нет админской сессии, то никто не сможет получить доступ к странице? И то, что нет проверки данных из формы не страшно? Основной вопрос тут в этом.
Спустя 16 минут, 47 секунд (24.06.2009 - 02:21) FatCat написал(а):
Цитата (СЧ Лунный @ 24.06.2009 - 03:05) |
А насчёт безопасности - всё нормально? |
В 3 часа ночи вчитываться в такую портянку кода? Моего героизма не хватит на такое.
Спустя 4 минуты, 46 секунд (24.06.2009 - 02:26) FatCat написал(а):
Цитата |
$pwd=$_POST['pwd']; $sql="SELECT * FROM users WHERE login='$login' AND pwd='$pwd'"; |
Входящая переменная напрямую подставляется в sql-запрос?
Собственно, вот и дырка.
А если ввести в поле пароля такое:
Код |
123';TRUNCATE users; |
?
Как думаете, что станет с таблицей пользователей?
Как думаете, что станет с таблицей пользователей?
Спустя 7 минут, 35 секунд (24.06.2009 - 02:34) СЧ Лунный написал(а):
Так, в том-то и дело, что я изначально в админке не делаю никаких проверок умышленно. Расчёт идёт на то, что админ сможет делать то, что душе его угодно будет. На всех остальных страницах все поля очищаются от тегов, удаляются все лишние пробелы и так далее.
PHP |
if(!isset($_SESSION['admin'])) |
Мой расчёт строится на этих двух строчках в самом начале кода. То есть, не допустить возможности проникновения в админку постороннего человека, одновременно дать админу полную свободу деятельности.
Спустя 4 часа, 18 минут, 45 секунд (24.06.2009 - 06:53) glock18 написал(а):
Цитата (СЧ Лунный @ 23.06.2009 - 23:34) |
Мой расчёт строится на этих двух строчках в самом начале кода. То есть, не допустить возможности проникновения в админку постороннего человека, одновременно дать админу полную свободу деятельности. |
угу, даже
Цитата (FatCat @ 23.06.2009 - 23:26) |
TRUNCATE users; |
через
Лучше послушай что тебе здешний администратор он не такой суровый, как твой админ, а говорит всегда по делу.
вообще все это читать желания нет. я тоже могу сюда выложить свой движок на... 30 что ли файлах... это только ядро. плюс обычно не меньше двух на каждую страницу. но ведь понимать надо, что во всем этом разбираться особо нет желания.
Еще добавлю как где-то здесь говорил. Твой код очень плохо структурирован и имеет много ляпов, а ты думаешь уже над безопасностью. Писать если будешь, придерживаясь нормальной структуры, это поможет другим найти, что у тебя там с безопасностью, а тебе - поправить дырки.
Спустя 20 минут, 39 секунд (24.06.2009 - 07:13) Kuliev написал(а):
СЧ Лунный
[quote]
[quote]
PHP |
if(isset($_POST['vhod']))//Начало скрипта входа |
Спустя 10 минут, 54 секунды (24.06.2009 - 07:24) glock18 написал(а):
ну это такой... код... начинающего индуса индусы-профи - боги по засир увеличению количества строк кода, до которых всем простым смертных далеко.