הוסטס - פורום אחסון האתרים הגדול בישראל
עמוד 2 מתוך 2 1 2
הצג 40 הודעות באשכול על דף אחד

הוסטס - פורום אחסון האתרים הגדול בישראל (https://hosts.co.il/forums/index.php)
-   פורום תיכנות (https://hosts.co.il/forums/forumdisplay.php?f=14)
-   -   [שאלה-PHP]אבטחת קוד (https://hosts.co.il/forums/showthread.php?t=52232)

Tomer 17-08-07 17:55
ציטוט:
נכתב במקור על ידי בניה (פרסם 543499)
זה אפשרי, לקוד שאתה מקבל מהשרת שמכיל את הקודים אתה עושה eval().
וכדי לקבל את הקוד אתה יכול להשתמש ב file_get_contents.
הבעיה שאפשר פשוט לקחת את הקוד ולעשות לו echo ואותו להכניס במקום הקוד שמקבל את הקוד מהשרת שמכיל את הקודים.
מגנים כמה שיותר. למשל אפשר לחסום כניסה לסקריפט ע"י סיסמא, ע"י הגנת IP.. למרות שהכל אפשר לעבור בסופו של דבר.

omercnet 17-08-07 18:45
רעיון נחמד

אבל לא בעיה לעקוף את זה,
אם אתה מגביל רק לפי IP, אפשר לזייף את זה ולהריץ את זה בכל זאת
הייתי ממליץ לשים גם סיסמא, איזה משתנה שמעבירים ב GET שמשמש כמזהה נוסף ל-IP

Kfir.G 17-08-07 22:38
ציטוט:
נכתב במקור על ידי omercnet (פרסם 543550)
רעיון נחמד

אבל לא בעיה לעקוף את זה,
אם אתה מגביל רק לפי IP, אפשר לזייף את זה ולהריץ את זה בכל זאת
הייתי ממליץ לשים גם סיסמא, איזה משתנה שמעבירים ב GET שמשמש כמזהה נוסף ל-IP
איך אני יכול להגן על זה בעזרת סיסמה ככה שלא יהיה ניתן להדפיס את תוכן הקובץ?

omercnet 17-08-07 22:44
ציטוט:
נכתב במקור על ידי kfir_dnd (פרסם 543657)
איך אני יכול להגן על זה בעזרת סיסמה ככה שלא יהיה ניתן להדפיס את תוכן הקובץ?
קודם כל
בכל מקרה
אתה יכול להשתמש בZend כדי להצפין את הקוד

דבר שני אני התכוונתי שתעשה עוד משתנה ב GET כדי לוודא שאתה מריץ את זה רק למי שאתה רוצה

akamaor 17-08-07 23:29
יוו אני נשבע לך גמני חשבתי על זה
זה רעיון בר ביצוע..

Kfir.G 18-08-07 04:14
טוב נראה כאילו שהרעיון שהצעתי הוא דיי פופלארי :) אז אולי כדי לעשות אשכול מרוכז או משהו לעבודה על הנושא הזה בתור פרוייקט של פורום תיכנות הוסטס? או שאולי תומר ישים את זה בתור האתגר או משהו :)

omercnet 18-08-07 09:48
http://www.znutgang.com/remote_inclu...sS=hostsIScool

אוקי, הנה
רק אם תגשו מהפוסט הזה ללינק הזה תקבלו את מה שאתם רוצים לקבל

בודק גם סיסמא וגם מאיפה באתם, אפשר להוסיף גם מאיזה IP ולא רק מאיזה עמוד

PHP קוד:
<pre>
<?
if ($_SERVER["HTTP_REFERER"] == "http://www.hosts.co.il/forums/showthread.php?p=543688") {
  if ($_GET['pAsS'] == 'hostsIScool') {
    echo "This is a sweet remote include that checks referer and has a key!";
  } else { echo "Wrong key !!"; }
} else { echo "Unauthorized access !!"; }
?>

Daniel 18-08-07 10:02
$_SERVER["HTTP_REFERER"] אפשר לזייף, ואפשר לעשות file_get_contents.

זה תאורטית בלתי אפשרי לפי דעתי, כי כל פעם שתעשה include, אני אעשה echo file_get_contents

omercnet 18-08-07 11:08
בשביל זה הוספתי את ה"סיסמא"
ככה שגם אם תזייף את הREFERER עדיין אתה צריך לדעת את הסיסמא, שרק מי שעושה את ה INCLUDE יודע אותה..

אפילו יודע מה, נלך רחוק.
נעשה WebService קטן, שאתה ניגש אליו, ואתה מקבל סיסמא שמוקצת רק לך (לIP שלך)
ואז אתה עושה INCLUDE עם הסיסמא שקיבלת

מספיק טוב?

akamaor 18-08-07 11:25
אחים יש אפשרות גם להוסיף את ה ip של השרת


כל הזמנים הם GMT +2. הזמן כעת הוא 13:53.
עמוד 2 מתוך 2 1 2
הצג 40 הודעות באשכול על דף אחד

מופעל באמצעות VBulletin גרסה 3.8.6
כל הזכויות שמורות ©
כל הזכויות שמורות לסולל יבוא ורשתות (1997) בע"מ