Может кто знает таких людей:
Полная Версия: Хакнули сайт
Здрасти хакнули тут мой сайт какието ребята (заменили index, шас востановил), толи приколом, толли чего ни знаю сай то вроди еще ни где ни засветился особо
Может кто знает таких людей:
Может кто знает таких людей:
| Цитата |
AMIN SAFI WwW.FaCeBooK.Com/JoKerTn http://www.zone-h.net py8@live.fr |
Вопрос у меня на папках для фоток которые размещают пользователи стоят права 755, необходимо потому что скрипт который бирет эту картинку и нкладывает водяной знак с другими правами не работает, просто не показывает картинку.
Могли ли через эту дыру както заменить index файл?
старался визде юзать htmlspeserchar.
посто про безопасность с этого сайта я еще раз перечитаю конечно ), но может кто акцинтирует мое внимание на каких либо моментах.
сайт http://listhotel.ru
Спустя 8 минут, 51 секунда (11.08.2011 - 21:40) Xes написал(а):
Я htmlspecialchars юзаю всегда при вводе в БД там где не надо сохранять код, а только текст, вывод без использования htmlspecialchars так как в базе уже данные прошедшие через эту функциюs. Все GET и даже POST запросы пропускаю через htmlspecialchars причем даже значение переданные через элементы формы такие как кнопка через параметр value, значение которого я сам прописал уже в коде (Возможно это лишнее?).
mysql_real_escape_string - юзаю когда надо сохранить допустим ссылку на сайт, так если с html кодом. Ну вывод ее конечно через htmlspecialchars если визуализовать надо.
Тобишь я все наоборот делаю? Это ошибка?
getimagesize - юзаю только jpg разрешены.
mysql_real_escape_string - юзаю когда надо сохранить допустим ссылку на сайт, так если с html кодом. Ну вывод ее конечно через htmlspecialchars если визуализовать надо.
Тобишь я все наоборот делаю? Это ошибка?
getimagesize - юзаю только jpg разрешены.
| Цитата |
| И какой смысл давать ссылку на свой сайт? Кому от этого легче?! |
Фиг знает )
Спустя 3 часа, 21 минута, 51 секунда (12.08.2011 - 01:02) fire написал(а):
Смотри в логах, мб найдеш как сломали сайт. Давай исходники мож кто найдет что на досуге, че просто так там тыкать
Спустя 6 часов, 55 минут, 8 секунд (12.08.2011 - 07:57) Xes написал(а):
| Цитата |
| Смотри в логах, |
Лог файлы иногда у меня возникали при каких либо ошибках в скрипте прям в тех папках где страница сценария. Но сейчас таких файлов нигде нет. Или это другие файлы надо искать?
| Цитата |
| Давай исходники мож кто найдет что на досуге |
Вот исходник типичной страницы и функций которые используются в юзерпанели.
http://listhotel.ru/temp/gorod.rar
Спустя 6 минут, 56 секунд (12.08.2011 - 08:04) Michael написал(а):
Спустя 9 часов, 8 минут, 17 секунд (12.08.2011 - 17:12) fire написал(а):
взглянул одним глазком, хочу сказать что htmlspecialchars не помогает от sql inj
Спустя 1 минута, 48 секунд (12.08.2011 - 17:14) Invis1ble написал(а):
fire
| Цитата |
| взглянул одним глазком, хочу сказать что htmlspecialchars не помогает от sql inj |
а что, кто-то говорит, что помагает?
Спустя 20 минут, 17 секунд (12.08.2011 - 17:34) fire написал(а):
| Цитата |
| а что, кто-то говорит, что помагает? |
я про пример его кода говорил
Спустя 1 день, 16 часов, 8 секунд (14.08.2011 - 09:34) Xes написал(а):
Перечитал статейку про безопасность еще раз, хотя читал ее и до того как выкладывать сайт в сеть.
Все о чем пишут реализованно. Единственное отличие что я текстовые данные в которых не нужна разметка (теги) сразу прогоняю через htmlspeserchars, и вывожу потом из базы ни как не обробатывая, т.к. уже обработоны.
Те данные где нужно сохранить разметку прогоняю черз mysql_real_escape_string, вывод их через htmlspeserchars.
Результат то один и тот же на мой взгляд, только при выводе работает быстрее не надо кучу переменных sqlrow['....'] прогонять через htmlspeserchars - идет прямой вывод из бд.
Согласен что вообщемто данные искажены, но какой смысл хранить их в несикаженном виде, если я на 100% знаю, что кроме текста в этих полях ни чего быть не должно и не будет ни когда.
Все о чем пишут реализованно. Единственное отличие что я текстовые данные в которых не нужна разметка (теги) сразу прогоняю через htmlspeserchars, и вывожу потом из базы ни как не обробатывая, т.к. уже обработоны.
Те данные где нужно сохранить разметку прогоняю черз mysql_real_escape_string, вывод их через htmlspeserchars.
Результат то один и тот же на мой взгляд, только при выводе работает быстрее не надо кучу переменных sqlrow['....'] прогонять через htmlspeserchars - идет прямой вывод из бд.
Согласен что вообщемто данные искажены, но какой смысл хранить их в несикаженном виде, если я на 100% знаю, что кроме текста в этих полях ни чего быть не должно и не будет ни когда.
| Цитата |
взглянул одним глазком, хочу сказать что htmlspecialchars не помогает от sql inj |
mysql_real_escape_string(trim($_POST['link'])) ставит слеши перед ' и " .
htmlspecialchars(trim($_POST['button']),ENT_QUOTES) преобразует и ' " < >
Почему тогда вы говорите что неспасает?
Спустя 9 минут, 55 секунд (14.08.2011 - 09:44) Invis1ble написал(а):
например
;)
var_dump(htmlspecialchars('/*', ENT_QUOTES) === '/*');
;)
Спустя 30 минут, 54 секунды (14.08.2011 - 10:15) Xes написал(а):
НУ как я понял вы хотели показать эквивалентность '/*' этих двух сьрок, обработанных и не обработанных htmlspecialchars?
А в дальнейшем где это можно применить, похоже на начало коммента в php случай где это может навредить? если sql вставлять в большинстве случаев у меня идет так where `idhotel` = ".$p."
Не соображу где эта звездачка может навредить?
и как от этого спасет mysql_real_escape_string чем он отличается от htmlspecialchars только тем что один преобразует кавычки а другой их пропускает но ставит слеш перед ними.
А в дальнейшем где это можно применить, похоже на начало коммента в php случай где это может навредить? если sql вставлять в большинстве случаев у меня идет так where `idhotel` = ".$p."
Не соображу где эта звездачка может навредить?
и как от этого спасет mysql_real_escape_string чем он отличается от htmlspecialchars только тем что один преобразует кавычки а другой их пропускает но ставит слеш перед ними.
Спустя 7 минут, 15 секунд (14.08.2011 - 10:22) Invis1ble написал(а):
| Цитата |
| НУ как я понял вы хотели показать эквивалентность '/*' этих двух сьрок, обработанных и не обработанных htmlspecialchars? |
именно.
это комментарий в sql. Примеры приводить не буду, если интересно - сам найдешь. В общих чертах - используется для усечения запроса.
Спустя 8 минут, 43 секунды (14.08.2011 - 10:31) Xes написал(а):
Ха, это еще и коммент в sql тогда понятно.
Как тогда защитится от такой натписи mysql_real_escape_string, наверное тоже не спасет от такой строки?
Как тогда защитится от такой натписи mysql_real_escape_string, наверное тоже не спасет от такой строки?
Спустя 4 дня, 3 часа, 41 минута, 48 секунд (18.08.2011 - 14:13) Xes написал(а):
1. Так как же защитится от таких символов, комментариев или еще каких либо злостных про которые я не знаю.
2. Ниушто Вы все (в большинстве своем) все данные из таблицы выводитет через htmlspeserchars? Это же пипец во что код превратится писать " htmlspecialchars($sqlrow['aaa']) перед каждой переменной. Неушто не легче сразу применить функцию и записать в бд данные обработанные htmlspeserchars которые наверника не должны содержать тегов, например описание объекта, города, текст какой либо?
2. Ниушто Вы все (в большинстве своем) все данные из таблицы выводитет через htmlspeserchars? Это же пипец во что код превратится писать " htmlspecialchars($sqlrow['aaa']) перед каждой переменной. Неушто не легче сразу применить функцию и записать в бд данные обработанные htmlspeserchars которые наверника не должны содержать тегов, например описание объекта, города, текст какой либо?
Спустя 7 минут, 10 секунд (18.08.2011 - 14:20) Renden написал(а):
Xes
Насколько я знаю mysql_real_escape_string обойти нельзя, просто данные вносимые в запросе обрамляй кавычками и не парься.
htmlspecialchars - я лично использую когда html-ный текст сохраняю в базу, так смысл эту функцию постоянно юзать.
а если данные в запрос приходят цельночисловые ставь (int) и не ломай голову
Насколько я знаю mysql_real_escape_string обойти нельзя, просто данные вносимые в запросе обрамляй кавычками и не парься.
htmlspecialchars - я лично использую когда html-ный текст сохраняю в базу, так смысл эту функцию постоянно юзать.
а если данные в запрос приходят цельночисловые ставь (int) и не ломай голову
Спустя 45 секунд (18.08.2011 - 14:21) Invis1ble написал(а):
Xes
По-моему вот ТУТ все предельно ясно написано.
По-моему вот ТУТ все предельно ясно написано.
Спустя 7 минут, 37 секунд (18.08.2011 - 14:28) Xes написал(а):
Renden
Ну например ты говоришь, как я, htmlspecialchars применяешь чтобы сохранить данные.
Но ты еше говоришь "mysql_real_escape_string обойти нельзя" так как твой запрос выглядит в конечном счете чтото типа того?
Ну например ты говоришь, как я, htmlspecialchars применяешь чтобы сохранить данные.
Но ты еше говоришь "mysql_real_escape_string обойти нельзя" так как твой запрос выглядит в конечном счете чтото типа того?
| Цитата |
| текст sql запроса mysql_real_escape_string(htmlspecialchars($_POST['aaa'])) окончание текста запроса. |
вобщемто смысла в этой записи уже нет так как ' и " уже были преобразованы ранее.
Вот я пытаюсь догнать чем htmlspecialchars уступает mysql_real_escape_string если обе преобразуют или слешируют ' и "
Или же ты тоже фильтруешь гдето в запрос просто втавляешь htmlspecialchars($_POST['aaa'])
а гдето где нужно сохранить теги mysql_real_escape_string($_POST['aaa'])
Спустя 5 минут, 42 секунды Xes написал(а):
Вы меня туда в 5 раз посылаете .... я читал.
И у меня ворос в том что это же пипец каждый раз применять htmlspecialchars при выводе если можно в базу сразу записать данные которые прогнали через htmlspecialchars
Спустя 7 минут, 13 секунд (18.08.2011 - 14:36) Invis1ble написал(а):
| Цитата |
| Вы меня туда в 5 раз посылаете .... я читал. |
судя по вопросам, плохо читал
Спустя 1 минута, 27 секунд (18.08.2011 - 14:37) Arni написал(а):
Пароль к фтп у вас сперли. Вирус такой есть.
Спустя 3 минуты, 26 секунд (18.08.2011 - 14:41) Xes написал(а):
| Цитата |
| Пароль к фтп у вас сперли. Вирус такой есть. |
С чего вы так думаете? Может быть это не помоей вине, а по вине хостреа произошло. И даже не связанно с тем вопросом безопасности моего сайта, по которому я сейчас парюс. Сейчас я просто собираю знания чтобы коль ушь буду переделывать в очередной раз так учесть все вопросы.
Спустя 17 минут (18.08.2011 - 14:58) Arni написал(а):
Что вам написали в ваш index? Если там ссылка или ява скрипт который что-то подгружает в браузер, а еще чаще там фрейм, то у вас сперли пароль к фтп и никто вас не ломал ток как вы себе думаете.
Спустя 2 минуты, 27 секунд (18.08.2011 - 15:00) Xes написал(а):
Там был полностью заменен index файл. С новой датой создания.
Спустя 13 минут, 15 секунд (18.08.2011 - 15:13) Xes написал(а):
О все наконцецто нашел различеи между mysql_real_escape_string htmlspecialchars
как я и говрил mysql_real_escape_string слешит еще и сам слеш. Просто об этом можно узанть только в английской документации в руской ни где про это не написано.
http://ru2.php.net/mysql_real_escape_string
как я и говрил mysql_real_escape_string слешит еще и сам слеш. Просто об этом можно узанть только в английской документации в руской ни где про это не написано.
http://ru2.php.net/mysql_real_escape_string
Здесь расположена полная версия этой страницы.