Hey HOL! Nu har jeg her de sidste par uger taget et bogligt kursus i basal PHP og mySQL, og synes jeg er ved at have godt fat på de forskellige funktioner osv. Jeg er kommet til der hvor jeg har lavet mig et loginsystem med brugere, en del diskussionsboards, hvor man både kan slette sine indlæg og skrive dem osv. Det er gået op for mig, at for at skabe en database adgang med PHP, skriver man koden til databasen direkte ind i PHP filerne, og da de filer umiddelbart ikke er krypteret, kan de godt virke lidt komprimeterende at have liggende på en server?. Jeg kan umiddelbart ikke se at man kan downloade dem på nogen måde, men der er sikkert andre måder at skabe sig adgang. Det har så ført mig til at google en masse om at hacke hjemmesider, hvilket virker som en forholdsvis simpel operation, og hvilket har ført mig til funktioner som magic_quotes og addslashes osv. men dem kan jeg ikke få til at du. Jeg synes egentligt det er en del mere interessant at lære at skrive webaplikationer, frem for at lære at hacke, og min database, som den er nu, indeholder intet af interesse for nogen, så hvis den bliver hacket, er den hurtig at genoprette med backup. Det er altså ikke et livsnødvendigt behov for mig med sikkerhed, men jeg synes alligevel gerne jeg vil lære lidt mere om det. Jeg vil også gerne lære lidt om hvordan det er præcist en hacker for adgang (De sider jeg har fundet med tutorials virker lidt outdated) og så vil jeg gerne lære lidt om typiske svagheder for hjemmesider. Jeg har litteratur her på mit bord der indeholder kapitler om sikkerhed, men de virker måske lidt outadated (det virker som, at sprog som PHP hele tiden bliver opdateret) Er der nogle der har nogle gode links til nogle guides eller nogle gode bøger jeg kan låne på biblo? Eller er der nogle der kan komme med en god forklaring på et websites svagheder, og hvordan man styrker dem? Mvh. Og det var vist en ordentlig smøre!
--

#1
SteffanS
Supporter
04-07-2013 17:01

Rapporter til Admin

Du skriver at du er nervøs for at man kan få adgang til koden hvor dine SQL query's står i ved at "Downloade" php filerne på en måde - Dette er ikke muligt, da php koden bliver kørt på serveren og altid sendt til browseren/den besøgende, så det skal du ikke være nervøs for pga. det ikke er krypteret :) den eneste måde de kan få fat i kildekoden på er hvis du har lavet et åbent huld i din kode der gør de kan køre system kommandoer eller hvis de får adgang til serveren filsystem via ssh, smb eller andet man kan kopiere filer igennem. Det er altid en god idé når du har en form input på din side, at validere/sikre at det de skriver i feltet ikke kan bruges mod dig til noget ondt. Her kan du bruge følgende, som jeg har lavet engang, den køre jeg alt igennem som brugeren kan indtaste , både $_POST og $_GET ting..: function strip_slashes($value) { $value = stripslashes($value); $value = str_replace("/", "[fw$]", $value); $value = str_replace(".", "[fw$]", $value); $value = strip_tags($value); return $value; } function clean($str) { $str = @trim($str); if(get_magic_quotes_gpc()) { $str = stripslashes($str); } return mysql_real_escape_string($str); } for at "cleane" noget input bruger du så bare: $variabel = clean("Noget text her der skal cleanes, eller en variabel") Vis du køre ting igennem dette undgår du SQL injection og andet du ikke gerne vil nyde noget af.. selvfølgelig skal også validere ting så der kun kan bruges data som er godkendt af dig hvis du forstår.. det er lidt svært at forklare :D
--
Kæmpe oprydnings salg: http://salg.ssdata.dk[...] Salg af nye 500GB diske: http://diske.ssdata.dk[...]

#2
soren101
Ny på siden
04-07-2013 17:02

Rapporter til Admin

Lidt kommentarer: Det anbefales at bruge din databases udgave af magic_quotes() da det er forskelligt hvad forskellige databaser opfatter som quotes og lignende specialtegn. Fx. for Mysql anbefales mysqli_real_escape_string(). Se desuden på Prepared Statements hvis du ikke allerede bruger det.
--