Nawigacja

Aktualnie online

Gości online: 20

Użytkowników online: 0

Łącznie użytkowników: 25,400
Najnowszy użytkownik: AlojzyBartek

Logowanie

Zarejestruj się

Odzyskaj hasło

Shoutbox

Musisz zalogować się, aby móc dodać wiadomość.

Zbigniew@

17.11.2024 11:33:24

Nie ten grzeszy kto pije, ale ten, kto się nie upije.

JazOOn

16.11.2024 20:46:18

tja

Zbigniew@

15.11.2024 18:58:17

Kto pije, ten nie bije.

JazOOn

31.10.2024 20:49:47

Kto pije?

piterus

30.10.2024 19:45:48

I będziemy śpiewać: "Kiedy 20 blisko, przebadaj wszystko, przebadaj wszystko..."

Archiwum shoutboksa

O nie! Ta strona potrzebuje włączonej obsługi języka JavaScript!

Twoja przeglądarka nie obsługuje tego języka lub ma wyłączoną jego obsługę. Włącz wykonywanie kodu JavaScript w swojej przeglądarce internetowej, aby skorzystać ze wszystkich funkcji strony
lub skorzystaj z programu obsługującego język JavaScript, np. Mozilla Firefox, Apple Safari, Opera, Google Chrome lub Windows Internet Explorer w wersji wyższej niż 6.

Zobacz temat

Polski Oficjalny Support PHP-Fusion » Podstawowe zagadnienia związane z PHP-Fusion » Przedszkole

Zabezpieczenie przed wydobyciem hasla sql
veto	#1 Dodany dnia 24.04.2008 14:18:15
Przedszkolak Postów: 60 Pomógł: 2 Ostrzeżeń: 1 Data rejestracji: 24.07.2007 17:36	Witam. Mam taki problem, poniewaz nie chce żeby inny admin, bądź ktoś będący na moim koncie mogł dzięki stronom informacyjnym wydobyc passa do mysql. Podaje kod ktory pozwala po wklejeniu do stron informacyjnych wyswietlic dane mysql + haslo w źrodle strony. I pytanie jak temu zapobiec? : Rozwiń Kod źródłowy `<table width="90%" cellspacing="0" cellpadding="3" border="0"><td><b>Kod:</b></td><tr><td class="code"><div style="overflow: auto; width: 100%"><?php readfile('config.php'); ?></div></td></tr></table>` PW od moderatora: Przeniesienie tematu - bartek124 24.04 - 15:03 Edytowane przez Pieka dnia 24.04.2008 18:14:07


Wścibski Gość	Dodany dnia 25.11.2024 19:31:59
Pan Kontekstualny Postów: n^x Data rejestracji: Zawsze
IP: localhost

bartek124	#2 Dodany dnia 24.04.2008 15:02:28
Weteran Postów: 3264 Pomógł: 236 v7.02.06 Data rejestracji: 26.05.2007 12:25	Najprościej będzie nie podawać hasła do swojego profilu. Nie pomagam na komunikatorach oraz PW!


veto	#3 Dodany dnia 24.04.2008 15:07:42
Przedszkolak Postów: 60 Pomógł: 2 Ostrzeżeń: 1 Data rejestracji: 24.07.2007 17:36	Nie daje nikomu, tylko są tacy ktorzy potrafią się dobrać do mojego konta.. No cms chyab jest dzurawy i błąd jest chyba w editprofile.php - chyba mozna atak xss przeprowadzic. W kazdym razie chce się zabezpieczyc przed wydobyciem passa do mysql z poziomu konta admina jak podalem wyzej.


ICEK	#4 Dodany dnia 24.04.2008 15:09:18
Bywalec Postów: 658 Pomógł: 27 Data rejestracji: 22.09.2007 08:29	Gdyby cms był dziurawy na pewno już dawno byłoby to zgłoszone www.modlinski.net


bartek124	#5 Dodany dnia 24.04.2008 15:13:36
Weteran Postów: 3264 Pomógł: 236 v7.02.06 Data rejestracji: 26.05.2007 12:25	Pewnie, jak sie nie aktualizuje od iluś tam wersji... Najnowsze paczki są bezpieczne, nie da się ich zhaczyć. To Administratorzy otwierają tylną furtkę hakerom swoją bezmyślnością. Już o tym pisałem, nie będę się powtarzał. Poza tym hasło jest hashowane przez md5();, przy względnej kombinacji znaków w haśle nie da się go rozszyfrować. Owszem, są słowniki mające słowo i md5 do nich, dzięki czemu da się proste słowa rozszyfrować. Złóż hasło z liter+cyfr i jesteś bezpieczny. Nie pomagam na komunikatorach oraz PW!


veto	#6 Dodany dnia 24.04.2008 15:16:27
Przedszkolak Postów: 60 Pomógł: 2 Ostrzeżeń: 1 Data rejestracji: 24.07.2007 17:36	Krótko przedstawię moją sytuacje: haslo mialem typu: jht72364jh21as7q4 Wiem co to znaczy rozwalić hash md5... A poza tym nie ma rzeczy idealnych. Z jakiej niby racji mialby się ktoś chwalić, że zna lukę skoro moze ją miec dla siebie i wykorzystywac. Być może się mysle bo to wina serwera, lub ja coś nawaliłem i gdzieś jakieś dane nie są filtrowane bo się ostatnio dużo bawilem lub po prostu dlatego ze to EF...


MeTeo	#7 Dodany dnia 24.04.2008 16:04:02
Bywalec Postów: 880 Pomógł: 23 Ostrzeżeń: 2 Data rejestracji: 14.12.2005 19:38	Jaki jest sens twoje posta? Przedstawię Ci na przykładzie o co pytasz: "Jak mogę zapobiec kradzieży z mojego domu gdy dałem kluczyki złodziejowi?" Samo administrowanie w sensie istnienia ma na celu udostępnienie wszystkich informacji. Nikt normalny nie udostępnia swojego konta. veto - Racja, tylko profil nie był łatany już jakiś czas a PF ma "zaplecze" duże i gdyby to było tak banalne wyciągnięcia hasła admina, to by już tego nie było. Nie ma rzeczy idealnych ale nie przesadzajmy z wyciąganiem hasła... Ja Ci mogę podać moje hasło zahashowane... Nic Ci to nie da. Bo swoje hasło koduję jeszcze ręcznie na klawiaturze... Nie dasz "kluczyków" - nikt się nie włamie...


veto	#8 Dodany dnia 24.04.2008 17:03:31
Przedszkolak Postów: 60 Pomógł: 2 Ostrzeżeń: 1 Data rejestracji: 24.07.2007 17:36	Nie dasz "kluczyków" - nikt się nie włamie... Nie dawałem "kluczyków" - mialem 2 włamy.


bartek124	#9 Dodany dnia 24.04.2008 17:11:19
Weteran Postów: 3264 Pomógł: 236 v7.02.06 Data rejestracji: 26.05.2007 12:25	Heh... Sam pomogłeś chakierom w włamach . Tysiące stron w PHP-Fusion, choćby same Supporty - czy kiedyś ktoś się na nie włamał? Wystarczy mieć głowę na karku i znać podstawy bezpieczeństwa, już zmniejszasz prawdopodobieństwo włamu. Edytowane przez bartek124 dnia 24.04.2008 18:05:32 Nie pomagam na komunikatorach oraz PW!


MeTeo	#10 Dodany dnia 24.04.2008 17:38:58
Bywalec Postów: 880 Pomógł: 23 Ostrzeżeń: 2 Data rejestracji: 14.12.2005 19:38	bartek124 - (Charyzjuszowi) Chakierowi jak coś ;P Co do tematu: Najwidoczniej twoje "kluczyki" były bardzo pospolite lub nie aktualizowałeś fusiona... Z resztą, nie sam PF musi być podatny na xss a wtyczki... Swego czasu było odnalezionych sporo wtyczek z błędami... Sorry, mój błąd //bartek124 Edytowane przez bartek124 dnia 24.04.2008 17:46:29

Przejdź do forum:

Twój link u nas!

Nawigacja

Główne menu

Komunikacja

Elementarz

Dokumentacja

Aktualnie online

Logowanie

Shoutbox

Zobacz temat