Можно было начать с того, что стоило бы показать что ломать. Но хочется немного подготовиться.
И так:
я защитился от sql - инъекций (данныe, попадающих в запросs, обрабатываются функцией mysql_real_escape_string(), во всех 100% запросов)
защитился от переполнения поля mysql информацией, если информация в байтах больше, чем может вместить поле - информация обрезается до максимального количества
весь вывод на страницах обрабатывается функцией htmlspecialchars(). Это касается и полей форм.
все способы редактирования информации пользователями сопровождаются проверочными одноразовыми токенами, привязанными к вкладке. На каждую новую вкладку создается свой токен.
все ссылки на сайте обрабатываются от возможного внедрения вредоносного кода, как показано на сайте irbis-team.com
к тому же я прекрасно понимаю, что такое магические кавычки и как с ними работать.
Какие еще сюрпризы я должен ожидать? Больше ничего в голову пока не приходит, но я чувствую, что что-то еще я упустил
Спасибо.
Спустя 6 минут, 42 секунды (14.10.2011 - 17:15) Winston написал(а):
Ну все, хорошо предохранился, беременность невозможно 
Спустя 27 минут, 40 секунд (14.10.2011 - 17:42) alex12060 написал(а):
SitnikovArtur
Паникер? ахах
Попробуй создать пользователя: admin с паролем 123456 и предоставить ему все права на сайте, и ты поймешь, что это одна дыра.
Дальше, хост взломать могут в любой миг (Anonimous не дремлют, хоть и ломают гос сайты, но все-же)
Еще разные инклуды.
мм...
А проще всего кинуть сюда ссылку на сайт и мы проверим сайт на дырки)
Паникер? ахах
Попробуй создать пользователя: admin с паролем 123456 и предоставить ему все права на сайте, и ты поймешь, что это одна дыра.
Дальше, хост взломать могут в любой миг (Anonimous не дремлют, хоть и ломают гос сайты, но все-же)
Еще разные инклуды.
мм...
А проще всего кинуть сюда ссылку на сайт и мы проверим сайт на дырки)
Спустя 11 минут, 20 секунд (14.10.2011 - 17:54) caballero написал(а):
| Цитата |
| Вы ломаете мой сайт. Ваши действия? |
Ломаем руки пока не скажешь пароль доступа
Спустя 2 часа, 21 минута, 32 секунды (14.10.2011 - 20:15) bodja написал(а):
Действительно ,а где ссыль на сайт ?
Без ссыли,нужно обращатся на форум экстрасенсов,пуска чары на сайт наведут.
Без ссыли,нужно обращатся на форум экстрасенсов,пуска чары на сайт наведут.
Спустя 16 часов, 14 минут, 14 секунд (15.10.2011 - 12:29) Winstyle написал(а):
ссылку дайте попробуем ломануть
Спустя 44 минуты, 6 секунд (15.10.2011 - 13:13) imbalance_hero написал(а):
SitnikovArtur
Загружу вместо фотки вредоносный файл, ты же сам сказал, что такой защиты у тебя нет
Загружу вместо фотки вредоносный файл, ты же сам сказал, что такой защиты у тебя нет
Спустя 4 часа, 26 минут, 44 секунды (15.10.2011 - 17:40) Guest написал(а):
imbalance_hero
Ну у меня пока и интерфейс загрузки файлов на сервер отсутствует
Ну у меня пока и интерфейс загрузки файлов на сервер отсутствует
Спустя 49 минут, 1 секунда (15.10.2011 - 18:29) bodja написал(а):
судя по отсутствию ссылки сайт тоже отсутствует
Спустя 3 часа, 53 минуты, 5 секунд (15.10.2011 - 22:22) Guest написал(а):
Обычно когда просишь поломать сайт - все сразу говорят: а точно твой?
К тому же недо сайты, типа как у Вас в подписи мне лично стремно выкладывать. Либо что-то путнее, либо ничего. Без обид, просто для сравнения.
Еще был какой-то ньюанс с куками, вот только не помню какой именно, а нагуглить "то не знаю что" не получилось. Вот и поднял обсуждение, дабы кто подсказал другие опасные места. Как например с аплоадером.
К тому же недо сайты, типа как у Вас в подписи мне лично стремно выкладывать. Либо что-то путнее, либо ничего. Без обид, просто для сравнения.
Еще был какой-то ньюанс с куками, вот только не помню какой именно, а нагуглить "то не знаю что" не получилось. Вот и поднял обсуждение, дабы кто подсказал другие опасные места. Как например с аплоадером.
Спустя 28 минут, 7 секунд (15.10.2011 - 22:50) caballero написал(а):
| Цитата |
| а нагуглить "то не знаю что" не получилось. |
поэтому ты задал вопрос - не знаю какая проблемма на несуществующем сайте
Спустя 5 часов, 9 минут (16.10.2011 - 03:59) imbalance_hero написал(а):
Guest
Просто обрабатывай входящие ВСЕ данные и всё. mysql_real_escape_string, int, htmlspecialchars.
Просто обрабатывай входящие ВСЕ данные и всё. mysql_real_escape_string, int, htmlspecialchars.
_____________
Не к каждой каптче можно написать антикаптчу ©