-
PHP
(
http://www.devprotalk.com/forumdisplay.php?f=9)
| Aleksandar.Ilic |
07. 11. 2006. 23:55 |
Pa to je i najsigurniji nacin. Ja uvek hardkodiram inkludovanja. Manje boli glava, kod nije sporiji i naravno, definitivno je daleko pregledniji.
Samo sto eto, neki zele da pisu sto manji kod :), jer ih mrzi da kucaju (ponekad) par desetina puta include (require)
|
| Ilija Studen |
08. 11. 2006. 00:17 |
Citat:
Originalno napisao dinke
A sta ako user posalje nesto tipa page = ../../../foo ? ladno ce taj fajl traziti ispod page dira o kome pricas. Sve u svemu, vrlo insecure.
|
100% si u pravu. Rupčaga!
PHP kôd:
if(!preg_match("/^([a-zA-Z0-9_]*)$/", $page)) {
die('Invalid file name');
} // if
Ili još jednostavnije:
PHP kôd:
if(strpos($page, '.') !== false) {
die('Invalid page name');
} // if
Citat:
Originalno napisao ivanhoe
ma bre Ilija sta fali tome da imas niz u kome pisu sve stranice koje je moguce inkludovati...ccc, sto ste bre toliko lenji...ova omladina, sve bi automatski :D
em je znatno sigurnije, em kad otvoris kod posle x meseci znas odmah koje strane se ukljucuju za koji ulazni parametar, bez da trazis po direktorijumima i tumacis mogucnosti...
|
Ručno moraš da edituješ fajl ako nešto dadaš što je ponekad smor. Oba će raditi posao bez ikakvih problema, tako da je sve manje više stvar ukusa... Ipak više volim kada skripta radi veći deo prljavog posla za mene.
Btw, ja bih od ovoga napravio klasu :) Prima dva parametra - odakle da pokupi ime stranice i gde su smeštene stranice. Dokle god je interfejs klase čitak bole me uvo šta je ispod haube. Tipa:
PHP kôd:
$dispatcher = new Dispatcher(dirname(__FILE__) . '/pages');
$dispatcher->dispatch(@$_GET['page']);
:p |
| ivanhoe |
08. 11. 2006. 03:06 |
pa, uvek moze da se napravi zaseban ini fajl sa spiskom fajlova za include.. tako izbegavas editovanje koda...
|
Hm, vidim da je ovde iznete dosta pametnih stvari ali ajde da probam da sumiram ...
Prvo i najvaznije pravilo koje svi treba da zapamtimo je: Filtrirati ulaz i escajpapovati izlaz.
Sto znaci da ulazni podaci mogu biti samo oni koje nasa aplikacija moze i sme da koristi. U konkretnom slucaju, najpamentnije resenje sa gledista sigurnosti je koriscenje switch-a. Tj za svaki zahtev postoji deo koda koji barate njime. Sve ostale metode se mogu lakse ili teze exploitovati, dodavanjem specijalnih karaktera ili losom konfiguracijom servera. Dalje npr, ako su nam potrebni samo brojevi u nasam scriptu koje dobijamo preko GET-a onda ogranicite te varijable na brojeve. Ne ostavljajte mesta za nehendlovane situacije.
Sto se tice izlaza, uvek treba prikazivati samo ono sto smemo da prikazemo a to znaci da sav kod koji moze da se izvrsi u browseru usera a ne treba biti izvrsen treba sanitizovati.
Za pocetak je dovoljno poslusati ovaj savet gore jer cete se tim nacinom kodovanja osloboditi vecine XSS, CSLF, SQL injectiona, Directory Traversal, include propusta ...
Neko je vec rekao da treba forsirati POST sto je delimicno tacno jer ce tako skinuti scriptkiddie sa vrata ali to ipak nije pravo resenje.
Citat:
$page = isset($_GET['page']) ? $_GET['page'] : 'homepage';
|
Ovakav nacin pisanja koda (Ternary Operator) nije pozeljan zbog preglednosti koda.
Neko je pomenuo mod_security, a takodje i neka podesvanja u samom php-u ... Sve ovo resava neke sigurnosne probleme ali poenta je napisati siguran kod bez pomocnih sredstava jer u svakom trenutku moze doci do promene konfiguracije servera.
Citat:
Za vise informacija, mozda da potrazis "Php Architect Guide to Security", mislim da se tako zove knjiga.
|
Za pocetak:
http://phpsecurity.org/
http://phpsec.org/projects/guide/sr/
E kad ovo predjete onda krece pravo zezanje :p Ajax, CSRF, i sl ... |
Citat:
Originalno napisao Blood
Uh, kod koji sam postavio ne valja nista :)
Ako ti treba knjiga koju je Dinke spomenuo, javi mi se na pp i poslacu ti je...
|
trebalo bi meni...imas li jos koji primjerak? :) |
| Ilija Studen |
08. 11. 2006. 12:03 |
Citat:
Originalno napisao ivanhoe
pa, uvek moze da se napravi zaseban ini fajl sa spiskom fajlova za include.. tako izbegavas editovanje koda...
|
Ali dodaješ editovanje ini fajla. Šta si time dobio? Ništa... Još jedan fajl viška i dodatnu kompleksnost jer moraš da ga učitaš, parsiraš, izvučeš vrednost. Rad sa nizom unutar index.php je bolje rešenje od toga.
Pazi ovo, samo malo discipline i zdravog razuma: u /pages direktorijum samo stavljaš one stranice koje želiš da budu dostupne kroz index.php, nikakve druge gluposti. To je prvo i poslednje pravilo. Skripta radi ostatak.
Off Topic:
Citat:
Originalno napisao Ivan
Ovakav nacin pisanja koda (Ternary Operator) nije pozeljan zbog preglednosti koda.
|
Sorry, već sam par puta od jutros krenuo da odgovorim pa zatvorio reply prozor. Ipak ne mogu da se suzdržim. Moram:
:1075:
TO je izuzetno praktična stvar dokle god ga koristiš sa osnovnom dozom zdravog razuma, a trudim se da verujem da je prosečan PHP developer ima ;)
Bah, i evo mene opet u ovakvim diskusijama i sa istim tonom. A obećao sam da neću više :D |
| ivanhoe |
08. 11. 2006. 16:42 |
Citat:
Originalno napisao Ilija Studen
Ali dodaješ editovanje ini fajla. Šta si time dobio? Ništa... Još jedan fajl viška i dodatnu kompleksnost jer moraš da ga učitaš, parsiraš, izvučeš vrednost. Rad sa nizom unutar index.php je bolje rešenje od toga.
|
ilija, nisi slusao na casovimal :)
PHP kôd:
$ini_array = parse_ini_file("sample.ini");
ini fajl je laksi za odrzavanje nego niz, a i malkice je brze nego include php fajla (jedino ne znam da li je podrzano kesiranje rezultata od strane akceleratora ? ) |
| Misko |
08. 11. 2006. 18:47 |
Uhhh... ovo se zove serija konstruktivnih odgovora... hvala puno svima... rešio sam problem :1042:
|
| Ilija Studen |
08. 11. 2006. 18:54 |
Citat:
Originalno napisao ivanhoe
ilija, nisi slusao na casovimal :)
|
Ništa novo ni iznenađujuće ;) Ja sam na časovima programiranja čitao "Očevi i oci" i još par naslova (za Očevi i oci znam sigurno jer mi je profesorica oduzela knjigu i rekla da će se žaliti razrednoj; nije mi išlo u glavu što bi se bilo ko žalio na tako dobru knjigu? :D ).
Citat:
Originalno napisao ivanhoe
ini fajl je laksi za odrzavanje nego niz, a i malkice je brze nego include php fajla (jedino ne znam da li je podrzano kesiranje rezultata od strane akceleratora ? )
|
Ček, ček. Hoćeš da kažeš da je:
PHP kôd:
$ini_array = parse_ini_file("sample.ini");
Brže od:
PHP kôd:
$allowed_pages = array('home', 'about', 'contact');
Ovo drugo sam imao na umu kada sam rekao "rešenje sa nizom" (Dinke je prvo to ponudio). Niz je unutar index.php jer nema poente da bude spolja.
Zip... |
| oliver |
08. 11. 2006. 19:12 |
Citat:
Originalno napisao dee
trebalo bi meni...imas li jos koji primjerak? :)
|
ajd i meni, cini mi se da nemam to u "arhivi".
...ili okacite na Host011 tracker :) |
| Vreme je GMT +2. Trenutno vreme je 09:39. |
|
Powered by vBulletin® Verzija 3.6.8
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
Copyright © DevProTalk. All Rights Reserved.
Mišljenja, saveti, izjave, ponude ili druge informacije ili sadržaji nastali na Sajtu su vlasništvo onoga ko ih je kreirao, a ne DevProTalk.com, tako da ne morate da se oslanjate na njih.
Autori poruka su jedini odgovorni za ovakve sadržaje. DevProTalk.com ne garantuje tačnost, kompletnost ili upotrebnu vrednost informacija, stavova, saveta ili datih izjava. Ne postoje uslovi pod kojima bi mi bili odgovorni za štetu ili gubitak koji je posledica bilo čijeg oslanjanja na nepouzdane informacije, ili bilo kakve informacije nastale kroz komunikaciju između registrovanih članova.Web sajt može sadržavati linkove na druge web sajtove na Internetu ili neke druge sadržaje. Ne kontrolišemo niti podržavamo te druge web sajtove, niti smo pregledali bilo kakve sadržaje na takvim sajtovima. Mi nećemo biti odgovorni za legalnost, tačnost ili prikladnost bilo kog sadržaja, oglasa, proizvoda, usluga ili informacije lociranim na ili distribuiranih kroz druge web sajtove, niti za bilo kakvu štetu nastalu kao posledica takvih informacija. DevProTalk.com drži i čuva druga prava vlasništva na web sajtu. Web sajt sadrže materijale zaštićene copyright-om, zaštitne znakove i druge informacije o pravu vlasništva ili softver. Članovi mogu poslatu informacije zaštićene pravima vlasništva njihovih nosilaca i ona ostaju zaštićena bez obzira da li su oni koji prenose te informacije to naveli ili ne. Osim informacija koje su u javnom vlasništvu ili za koje dobijete dozvolu, nemate pravo da kopirate, modifikujete ili na bilo koji način menjate, objavljujete, prenosite, distribuirate, izvršavate, prikazujete ili prodajte bilo koju informaciju zaštićenu pravima vlasništva. Slanjem informacija ili sadržaja na bilo koji deo DevProTalk.com, Vi automatski dozvoljavate i predstavljate garanciju da imate pravo da dozvolite DevProTalk.com ili članovima DevProTalk.com bespovratnu, kontinualnu, neograničenu, globalnu dozvolu da koriste, kopiraju, izvršavaju, prikazuju i distribuiraju takve informacije i sadržaje i da iz takvih sadžaja koriste bilo koji deo u bilo koje svrhe, kao i pravo i dozvolu da koriste gore navedene sadržaje. Svi zaštitni znakovi (trademarks), logotipi, oznake usluga, firme ili imena proizvoda koji se pominju na ovom web sajtu su vlasništvo kojim raspolažu njihovi vlasnici.
