[מדריך] PHP - אבטחת נתונים למתחילים - עמוד 2 - הוסטס

~The_Sultan~ · 09-07-10, 14:23

למה לא? הוא מיועד למניעת הצפות בעיקרון, אבל מה הבעיה להשתמש בזה גם לזה? זה כמו שביטוי רגולארי לא נועד דווקא בשביל לבדוק האם המשתנה הוא מספר, אלא לדברים מסובכים יותר כמובן, אבל אפשר. וזה לא מזיק.
ואיפה אמרתי שא"א להשתמש בREFERER? אמרתי שאם כבר משתמשים, אז לעשות בצורה שנתתי, שזה לפחות מוריד את הרמה של הפירצות.

Shay Ben Moshe · 09-07-10, 15:06

כבוד על ההשקעה אבל הקודים שלך ממש לא חכמים...

PHP קוד:


			
$formString = strip_tags(htmlspecialchars($_POST['string']));

גם מוחק וגם הופך תגים לתוויות מתאימות. צריך רק אחד מהם (אני אישית בעל htmlspecialchars).

PHP קוד:


			
$intValue = is_numeric($_GET['id']) && intval($_GET['id']) > 0 ? $_GET['id'] : die("Invalid id value");

נתחיל מזה שהפונקציה intval לא ממש יעילה ופה גם מיותרת אם אתה כבר יודע שהמשתנה הוא נומרי. הפתרון החכם הוא או להמיר לint ואז לוודא שהמספר אכן קיים בDB או להשתמש בescaping או משהו בסגנון.

PHP קוד:


			
$value = strip_tags(htmlspecialchars(mysql_real_esace_string($_GET['string'])));

אותו סיפור כמו קודם...

Erez | TrustMedia.co.il · 09-07-10, 15:25

לגבי הCSRF אין לי מושג מה זה,אבל לפי התיאור שנתת,הפיתרון הוא לא הכי טוב,מכיוןן שאם כבר מישהו שולח בקשה ידנית לקובץ שמבצע את הפעולות,אז הוא בקלות יכול להוסיף HEADER של הREFFER ואז אתה תחשוב שזה בא מהקובץ המקורי,כך שלא פתרת את הבעיה

RS324 · 09-07-10, 17:18

מדריך נחמד , התעלמת לגמרי מ 2 דברים

1. מאד חשוב , register_globals = on יכול לגרום לפרצות אבטחה מאד חמורות
2. magic_qoutes צריך לוודא שהוא OFF ואם הוא ON אז לעשות STRIP_SLASH על הכל כי אז זה עושה צרות עם ה ESCAPE שפשוט תקבל סלאשים כפולים וכאלה...

לגבי הפתרונות הם מתאימים למקרים הבסיסיים אבל אם לדוגמא יש לך עורך WYSIWYG אז אתה לא בדיוק יכול לעשות STRIP_TAGS....
יש עוד כמה נושאים באבטחה שלא נגעת בהם , אבל זה טוב להתחלה
כל הכבוד....

anti · 09-07-10, 20:38

PHP קוד:


			
<?php

/*

------------------------------------------------------------

|           Defense.php Is to free use

|           Defense from: Xss,Sql Inj in url only

|          =============================

|           > Date of Created: 21/12/08

------------------------------------------------------------

*/

class Defense 

{

    Var $Url;

    Var $Attack;

    Var $IP;

    Var $Method;

    Var $headers;

    Var $Out = "";

    Var $Value;

    Var $Email;

    Var $Date;

     

      function eMail($Subject)

      {

      $this->headers = "MIME-Version: 1.0\r\n";

      $this->headers.= "Content-type:text/html;charset=windows-1255\r\n";

      $this->Subject = $Subject;

      $this->Message = "<html><head></head><body dir='ltr'><div style='direction: ltr; font-family: arial; font-size: 11px;'>Method Of this Attack: {$this->Method}<br />IP Of this Attack: {$this->IP}<br />Url Of this Attack: {$this->Attack}</body></html>";

      mail($this->Email,$this->Subject,$this->Message,$this->headers);

      }

    function Defense()

    {

    $this->Url = $_SERVER['QUERY_STRING'];

    $this->Attack = $_SERVER['REQUEST_URI'];

    $this->IP = $_SERVER['REMOTE_ADDR'];

    $this->Value = "Defense()";

    $this->Email = "yourmail@gmail.com";

    $this->Date = date("d/m/Y H:i:s");



        if (preg_match("#(union|drop|alter|update|having|insert|select|create|<(.+)|alert)#i",$this->Url))

        {

                SetCookie("Defense",$this->Value,time()+3600*2);

                $this->Method = "Url String";

                $this->eMail("Your site has benn Attacked");

    Die($Defense->Out="

    <!DOCTYPE html PUBLIC '-//W3C//DTD XHTML 1.0 Transitional//EN' 'http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd'> 

            <html xml:lang='en' lang='en' xmlns='http://www.w3.org/1999/xhtml'>

    <head>

        <meta http-equiv='content-type' content='text/html; charset=windows-1255' />

        <title>Defense</title>

    </head>

<body style='background-color: #000;'>

<div style='margin: 0 auto 0 auto; text-align: center;'>

    <div style='background-color: #fff; width: auto; height: auto; border: 1px dashed #fafafa;'>

        <pre>Method Of this Attack: {$this->Method}<br />IP Of this Attack: {$this->IP}<br />Url Of this Attack: {$this->Attack}</pre>

    </div>

    <div style='color: #fafafa; font-weight: bold; font-size: 10pt;'>Your Detalis Is Send to the Admin forum</div>

</div>

</body>

    </html>

    ");

        }

    }

}

$Defense = new Defense;

if (isset($_COOKIE['Defense']) && $_COOKIE['Defense'] == $Defense->Value)

{

    Die($Defense->Out="

    <!DOCTYPE html PUBLIC '-//W3C//DTD XHTML 1.0 Transitional//EN' 'http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd'> 

            <html xml:lang='en' lang='en' xmlns='http://www.w3.org/1999/xhtml'>

    <head>

        <meta name='author' content='sHoN.G' />

        <meta http-equiv='content-type' content='text/html; charset=windows-1255' />

        <title>Defense</title>

    </head>

<body style='background-color: #000;'>

    <div style='text-align: center; color: #fafafa; font-weight: bold; font-size: 13pt;'>Your Blocked for 2 Hours<br />Reason: You try to Attack the site</div>

    

</body>

    </html>

    ");

}

?>

קובץ נחמד המגן מ XSS ו SQL INJ בשיטת GET,
פשוט תעשו INCLUDE בעמודים בהם יש חשש..
או תעשו INCLUDE כולל על ידי הכנסת העמוד הזה כ INCLUDE בתוך ה CONFIG
(בהנחה שאתם עשיתם INCLUDE לקובץ הCONFIG שלכם בכל האתר)

Hagaibl · 09-07-10, 23:58

ציטוט:

נכתב במקור על ידי Shay Falador

כבוד על ההשקעה אבל הקודים שלך ממש לא חכמים...

PHP קוד:


			
$formString = strip_tags(htmlspecialchars($_POST['string']));

גם מוחק וגם הופך תגים לתוויות מתאימות. צריך רק אחד מהם (אני אישית בעל htmlspecialchars).

PHP קוד:


			
$intValue = is_numeric($_GET['id']) && intval($_GET['id']) > 0 ? $_GET['id'] : die("Invalid id value");

נתחיל מזה שהפונקציה intval לא ממש יעילה ופה גם מיותרת אם אתה כבר יודע שהמשתנה הוא נומרי. הפתרון החכם הוא או להמיר לint ואז לוודא שהמספר אכן קיים בDB או להשתמש בescaping או משהו בסגנון.

PHP קוד:


			
$value = strip_tags(htmlspecialchars(mysql_real_esace_string($_GET['string'])));

אותו סיפור כמו קודם...

תמיד הייתי גם משתמש רק בhtmlspecialchars אני כמעט ולא נוגע בstrip_tags התחלתי לעשות שימוש בגלל AJAX.

ציטוט:

נכתב במקור על ידי WiPi

לגבי הCSRF אין לי מושג מה זה,אבל לפי התיאור שנתת,הפיתרון הוא לא הכי טוב,מכיוןן שאם כבר מישהו שולח בקשה ידנית לקובץ שמבצע את הפעולות,אז הוא בקלות יכול להוסיף HEADER של הREFFER ואז אתה תחשוב שזה בא מהקובץ המקורי,כך שלא פתרת את הבעיה

צודק לא חשבתי על זה לגמרי.

ציטוט:

נכתב במקור על ידי RS324

מדריך נחמד , התעלמת לגמרי מ 2 דברים

1. מאד חשוב , register_globals = on יכול לגרום לפרצות אבטחה מאד חמורות
2. magic_qoutes צריך לוודא שהוא OFF ואם הוא ON אז לעשות STRIP_SLASH על הכל כי אז זה עושה צרות עם ה ESCAPE שפשוט תקבל סלאשים כפולים וכאלה...

לגבי הפתרונות הם מתאימים למקרים הבסיסיים אבל אם לדוגמא יש לך עורך WYSIWYG אז אתה לא בדיוק יכול לעשות STRIP_TAGS....
יש עוד כמה נושאים באבטחה שלא נגעת בהם , אבל זה טוב להתחלה
כל הכבוד....

זה טיפים בסיסים לחלוטין, אני לא בא לדבר פה על קינפוג נכון של השרת, הרי המתכנת לא יבוא ויתחיל לדרוש מהלקוח תשנה את זה ותשנה את זה.
בכמובן שאם תשתמש בstrip_tags זה ידפוק את התוכן של WYSIWYG לכן צריך גם קצת לדעת מתי להשתמש.

liorclub · 10-07-10, 13:08

כל הכבוד על הכוונות הטובות והנסיון לעזור, זה משהו שיכול לעזור לכל מי שבתחילת דרכו.

יישר כוח !

astricks · 15-07-10, 15:05

כל הטיפים האלה מתרכזים לאותה נקודה, פשוט לא להסתמך על המשתמש (מוזר שרק דילרים וחנונים קוראים ללקוחות שלהם ככה אבל בסדר) בנוגע לשום דבר. כלומר, כל דבר שנכנס אליכם למערכת, כמו שאני מקווה שאתם עושים בחיים, בודקים בקפדנות ומסננים. KEEP IT SIMPLE

AlmogBaku · 20-07-10, 23:02

איזה שטויות.
בואו נתחיל מזה שברוב המקרים הפריצות יהיו לשרת עצמו ולא למערכת, משום שקשה מאוד לזהות פרצות אבטחה במערכת שלא ציבורית.

חשוב לחסום שטויות, לכתוב קוד מסודר ונכון, ולבצע הברחה ואימות נתונים מול סוג נתונים. כל השאר יבוא לבד

Hagaibl · 21-07-10, 00:45

ציטוט:

נכתב במקור על ידי Baku

איזה שטויות.
בואו נתחיל מזה שברוב המקרים הפריצות יהיו לשרת עצמו ולא למערכת, משום שקשה מאוד לזהות פרצות אבטחה במערכת שלא ציבורית.

חשוב לחסום שטויות, לכתוב קוד מסודר ונכון, ולבצע הברחה ואימות נתונים מול סוג נתונים. כל השאר יבוא לבד

זה מה שאני מסביר פה :|.
ותתפלא, רוב ה"מתכנתים" בישראל(אלו שחושבים את עצמם אבל לא באמת מתכנתים) לא עושים גם את זה.

09-07-10, 15:06	# 12
Shay Ben Moshe משתמש - היכל התהילה מיני פרופיל תאריך הצטרפות: Oct 2007 הודעות: 1,397	כבוד על ההשקעה אבל הקודים שלך ממש לא חכמים... PHP קוד: `$formString = strip_tags(htmlspecialchars($_POST['string']));` גם מוחק וגם הופך תגים לתוויות מתאימות. צריך רק אחד מהם (אני אישית בעל htmlspecialchars). PHP קוד: `$intValue = is_numeric($_GET['id']) && intval($_GET['id']) > 0 ? $_GET['id'] : die("Invalid id value");` נתחיל מזה שהפונקציה intval לא ממש יעילה ופה גם מיותרת אם אתה כבר יודע שהמשתנה הוא נומרי. הפתרון החכם הוא או להמיר לint ואז לוודא שהמספר אכן קיים בDB או להשתמש בescaping או משהו בסגנון. PHP קוד: `$value = strip_tags(htmlspecialchars(mysql_real_esace_string($_GET['string'])));` אותו סיפור כמו קודם... __________________ שי בן משה - בונה אתרים חותך אתרים, ומתכנת צד לקוח וצד שרת.

09-07-10, 15:25	# 13
Erez \| TrustMedia.co.il עסק רשום [?] מיני פרופיל תאריך הצטרפות: Jul 2008 הודעות: 1,854	לגבי הCSRF אין לי מושג מה זה,אבל לפי התיאור שנתת,הפיתרון הוא לא הכי טוב,מכיוןן שאם כבר מישהו שולח בקשה ידנית לקובץ שמבצע את הפעולות,אז הוא בקלות יכול להוסיף HEADER של הREFFER ואז אתה תחשוב שזה בא מהקובץ המקורי,כך שלא פתרת את הבעיה __________________

09-07-10, 17:18	# 14
RS324 תודה על תרומתך. מיני פרופיל תאריך הצטרפות: May 2006 הודעות: 3,173	מדריך נחמד , התעלמת לגמרי מ 2 דברים 1. מאד חשוב , register_globals = on יכול לגרום לפרצות אבטחה מאד חמורות 2. magic_qoutes צריך לוודא שהוא OFF ואם הוא ON אז לעשות STRIP_SLASH על הכל כי אז זה עושה צרות עם ה ESCAPE שפשוט תקבל סלאשים כפולים וכאלה... לגבי הפתרונות הם מתאימים למקרים הבסיסיים אבל אם לדוגמא יש לך עורך WYSIWYG אז אתה לא בדיוק יכול לעשות STRIP_TAGS.... יש עוד כמה נושאים באבטחה שלא נגעת בהם , אבל זה טוב להתחלה כל הכבוד.... __________________ כלים לקידום אתרים בלוג PHP למתקדמים

09-07-10, 20:38	# 15
anti חבר על מיני פרופיל תאריך הצטרפות: Jul 2006 הודעות: 901	PHP קוד: <?php /* ------------------------------------------------------------ \| Defense.php Is to free use \| Defense from: Xss,Sql Inj in url only \| ============================= \| > Date of Created: 21/12/08 ------------------------------------------------------------ / class Defense { Var $Url; Var $Attack; Var $IP; Var $Method; Var $headers; Var $Out = ""; Var $Value; Var $Email; Var $Date; function eMail($Subject) { $this->headers = "MIME-Version: 1.0\r\n"; $this->headers.= "Content-type:text/html;charset=windows-1255\r\n"; $this->Subject = $Subject; $this->Message = "<html><head></head><body dir='ltr'><div style='direction: ltr; font-family: arial; font-size: 11px;'>Method Of this Attack: {$this->Method}<br />IP Of this Attack: {$this->IP}<br />Url Of this Attack: {$this->Attack}</body></html>"; mail($this->Email,$this->Subject,$this->Message,$this->headers); } function Defense() { $this->Url = $_SERVER['QUERY_STRING']; $this->Attack = $_SERVER['REQUEST_URI']; $this->IP = $_SERVER['REMOTE_ADDR']; $this->Value = "Defense()"; $this->Email = "yourmail@gmail.com"; $this->Date = date("d/m/Y H:i:s"); if (preg_match("#(union\|drop\|alter\|update\|having\|insert\|select\|create\|<(.+)\|alert)#i",$this->Url)) { SetCookie("Defense",$this->Value,time()+36002); $this->Method = "Url String"; $this->eMail("Your site has benn Attacked"); Die($Defense->Out=" <!DOCTYPE html PUBLIC '-//W3C//DTD XHTML 1.0 Transitional//EN' 'http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd'> <html xml:lang='en' lang='en' xmlns='http://www.w3.org/1999/xhtml'> <head> <meta http-equiv='content-type' content='text/html; charset=windows-1255' /> <title>Defense</title> </head> <body style='background-color: #000;'> <div style='margin: 0 auto 0 auto; text-align: center;'> <div style='background-color: #fff; width: auto; height: auto; border: 1px dashed #fafafa;'> <pre>Method Of this Attack: {$this->Method}<br />IP Of this Attack: {$this->IP}<br />Url Of this Attack: {$this->Attack}</pre> </div> <div style='color: #fafafa; font-weight: bold; font-size: 10pt;'>Your Detalis Is Send to the Admin forum</div> </div> </body> </html> "); } } } $Defense = new Defense; if (isset($_COOKIE['Defense']) && $_COOKIE['Defense'] == $Defense->Value) { Die($Defense->Out=" <!DOCTYPE html PUBLIC '-//W3C//DTD XHTML 1.0 Transitional//EN' 'http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd'> <html xml:lang='en' lang='en' xmlns='http://www.w3.org/1999/xhtml'> <head> <meta name='author' content='sHoN.G' /> <meta http-equiv='content-type' content='text/html; charset=windows-1255' /> <title>Defense</title> </head> <body style='background-color: #000;'> <div style='text-align: center; color: #fafafa; font-weight: bold; font-size: 13pt;'>Your Blocked for 2 Hours<br />Reason: You try to Attack the site</div> </body> </html> "); } ?> קובץ נחמד המגן מ XSS ו SQL INJ בשיטת GET, פשוט תעשו INCLUDE בעמודים בהם יש חשש.. או תעשו INCLUDE כולל על ידי הכנסת העמוד הזה כ INCLUDE בתוך ה CONFIG (בהנחה שאתם עשיתם INCLUDE לקובץ הCONFIG שלכם בכל האתר)

10-07-10, 13:08	# 17
liorclub חבר על מיני פרופיל תאריך הצטרפות: Jan 2007 גיל: 39 הודעות: 756	כל הכבוד על הכוונות הטובות והנסיון לעזור, זה משהו שיכול לעזור לכל מי שבתחילת דרכו. יישר כוח ! __________________ ליאור


	ההרשמה לפורום נפתחה - אפשרות רישום לכל אימייל (דומיינים פרטיים, gmail, הוטמייל..)!

09-07-10, 14:23	# 11
~The_Sultan~ חבר על מיני פרופיל תאריך הצטרפות: Oct 2008 הודעות: 771	למה לא? הוא מיועד למניעת הצפות בעיקרון, אבל מה הבעיה להשתמש בזה גם לזה? זה כמו שביטוי רגולארי לא נועד דווקא בשביל לבדוק האם המשתנה הוא מספר, אלא לדברים מסובכים יותר כמובן, אבל אפשר. וזה לא מזיק. ואיפה אמרתי שא"א להשתמש בREFERER? אמרתי שאם כבר משתמשים, אז לעשות בצורה שנתתי, שזה לפחות מוריד את הרמה של הפירצות.

15-07-10, 15:05	# 18
astricks חבר בקהילה מיני פרופיל תאריך הצטרפות: Oct 2005 גיל: 36 הודעות: 95	כל הטיפים האלה מתרכזים לאותה נקודה, פשוט לא להסתמך על המשתמש (מוזר שרק דילרים וחנונים קוראים ללקוחות שלהם ככה אבל בסדר) בנוגע לשום דבר. כלומר, כל דבר שנכנס אליכם למערכת, כמו שאני מקווה שאתם עושים בחיים, בודקים בקפדנות ומסננים. KEEP IT SIMPLE

20-07-10, 23:02	# 19
AlmogBaku חבר וותיק מיני פרופיל תאריך הצטרפות: Nov 2007 מיקום: מודיעין הודעות: 1,022	איזה שטויות. בואו נתחיל מזה שברוב המקרים הפריצות יהיו לשרת עצמו ולא למערכת, משום שקשה מאוד לזהות פרצות אבטחה במערכת שלא ציבורית. חשוב לחסום שטויות, לכתוב קוד מסודר ונכון, ולבצע הברחה ואימות נתונים מול סוג נתונים. כל השאר יבוא לבד

חברים פעילים הצופים באשכול זה: 1 (0 חברים ו- 1 אורחים)