Pomoć oko mod_rewrite

pitchweis · 05. 10. 2008.

dragi forumaši,
imam jedan problem, instalirao sam noah`s classfields i traži neke izmene koje uopšte ne znam kako da izvedem. nikad to nisam radio pa bih zamolio nekog da mi objasni korak po korak - znači od nule. pogledao sam nešto, ali uzalud, a ne bih da nešto zabrljam, pa da mi posle treba večnost da ispravim.

evo linka šta treba da se uradi:

http://www.noahsclassifieds.org/docu...n/rewriterules

mileusna · 05. 10. 2008.

Da li je to shared hosting ili dedicated server?

Ako je shared, tj. ako nemaš pristup httpd.conf onda ignoriši sve gde se pominje httpd.conf, kod velike većine provajdera mod_rewrite je već omogućen po defaultu.

Dakle napravi .htaccess file u root folderu tvog sajta i tamo copy&paste sve ono što piše da treba da ide u .htaccess i to je to...

pitchweis · 14. 10. 2008.

obrisao sam ono sto je bilo po defultu pa sam pastovao

Kôd:

RewriteCond %{DOCUMENT_ROOT}%{REQUEST_FILENAME} !-d
RewriteCond %{DOCUMENT_ROOT}%{REQUEST_FILENAME} !-f
RewriteRule ^(.*)$ /index.php?url=$1 [L]

i sada radi, ali ne daje nice urls.

Da li u ovom slučaju postoje neki sigurnosni propusti ili tako nešto što može da se skrši?

LiquidBrain · 14. 10. 2008.

pa ako nije lepo sanitizovan parametar url moze da bude

pitchweis · 14. 10. 2008.

kako bih to mogao da znam pa da sprečim?

mileusna · 14. 10. 2008.

Pogledaj malo tematiku oko XSS. Ovo nije vezano za mod_rewrite, vеć uopšte za URL.

XSS se obično manifestuje tako što ti se kao jedan od parametara prosledi neki JavaScript koji ti onda nehotično ispišeš na svojoj web strani (jer taj parametar ispisuješ inače) što dovede do toga da se izvrši i maliciozni JavaScript kod umetnut na tvoju stranu kroz parametar.

Po tom pitanju, možda je mod_rewrite čak i sigurniji od dinamičkih URL adresa. Recimo, ako navodiš kategoriju kao URL parametar
mojsajt.com/prikaz.php?kategorija=Sport
i ukoliko XSS nije sanatizovan kroz skript, postoji mogućnost da neko prosledi URL tipa
mojsajt.com/prikaz.php?kategorija=<script>alert('prc');</script> ili slično

Sad druge strane ako koristiš mod rewrite, možeš napraviti rule:

RewriteCond %{REQUEST_URI} ^/kategorija/[a-zA-Z]+$

zahvaljujući čemu sprečavaš bilo šta što nije sastavljeno samo od slova ([a-zA-Z]) da prođe na skript za prikaz kategorija.

P.S. Verujem i da će se jedan DTP korisnik ubrzo javiti na ovaj thread sa više informacija o XSS-u.

LiquidBrain · 14. 10. 2008.

Pa lepo ti je mileusna objasnijo... samo se uveri da se svi parametri u url-u lepo obradjuju... to jest da ih ne koristish pre ciscenja. Dozvoli samo velika i mala slova brojeve i srednju i donju crtu

mileusna · 14. 10. 2008.

Za sprečavanje XSS-a je krucijelno enkodiranje svega što se ispisuje na HTML strani a prosleđuje se kao URL parametar.

Dakle ako ti neko prosledi parametar <script>alert('prc');</script> i ti ga takvog ispišeš u HTML onda će se na tvojoj stranici izvršiti maliciozni JavaScript.

No, ukoliko svaki URL parametar pre ispisa provučeš kroz, recimo u slučaju PHP-a, funkciju htmlspecialchars, onda će se <script> pretvoriti u <script> i tretiraće se kao tekst te postaje bezopasan.

Naravno ima tu još toga, nisam stručnjak, ali vođenje računa o ovome zatvara mislim 95% XSS rupa.

pitchweis · 14. 10. 2008.

hvala na odgovorima, nadam se da ću u skorije vreme razumeti o čemu pričate

05. 10. 2008.	#1
pitchweis profesionalac Qualified Datum učlanjenja: 18.10.2006 Poruke: 104 Hvala: 19 10 "Hvala" u 6 poruka	Pomoć oko mod_rewrite dragi forumaši, imam jedan problem, instalirao sam noah`s classfields i traži neke izmene koje uopšte ne znam kako da izvedem. nikad to nisam radio pa bih zamolio nekog da mi objasni korak po korak - znači od nule. pogledao sam nešto, ali uzalud, a ne bih da nešto zabrljam, pa da mi posle treba večnost da ispravim. evo linka šta treba da se uradi: http://www.noahsclassifieds.org/docu...n/rewriterules __________________ soon

05. 10. 2008.	#2
mileusna Super Moderator Knowledge base Datum učlanjenja: 21.03.2006 Lokacija: Kragujevac Poruke: 1.878 Hvala: 291 1.345 "Hvala" u 355 poruka	Da li je to shared hosting ili dedicated server? Ako je shared, tj. ako nemaš pristup httpd.conf onda ignoriši sve gde se pominje httpd.conf, kod velike većine provajdera mod_rewrite je već omogućen po defaultu. Dakle napravi .htaccess file u root folderu tvog sajta i tamo copy&paste sve ono što piše da treba da ide u .htaccess i to je to... __________________ Naslovi.net \| Gdestinacija.com \| I Shot The Sheriff \| @mileusna

14. 10. 2008.	#3
pitchweis profesionalac Qualified Datum učlanjenja: 18.10.2006 Poruke: 104 Hvala: 19 10 "Hvala" u 6 poruka	obrisao sam ono sto je bilo po defultu pa sam pastovao Kôd: RewriteCond %{DOCUMENT_ROOT}%{REQUEST_FILENAME} !-d RewriteCond %{DOCUMENT_ROOT}%{REQUEST_FILENAME} !-f RewriteRule ^(.)$ /index.php?url=$1 [L] i sada radi, ali ne daje nice urls. Da li u ovom slučaju postoje neki sigurnosni propusti ili tako nešto što može da se skrši? __________________ soon Poslednja izmena od pitchweis : 14. 10. 2008. u 11:38.*

14. 10. 2008.	#4
LiquidBrain Milan Cvejic Wrote a book Datum učlanjenja: 05.09.2006 Lokacija: Beograd Poruke: 1.241 Hvala: 32 73 "Hvala" u 56 poruka	pa ako nije lepo sanitizovan parametar url moze da bude __________________ http://weevify.com

14. 10. 2008.	#5
pitchweis profesionalac Qualified Datum učlanjenja: 18.10.2006 Poruke: 104 Hvala: 19 10 "Hvala" u 6 poruka	kako bih to mogao da znam pa da sprečim? __________________ soon

Slične teme
Tema	Početna poruka teme	Forum	Odgovori	Poslednja poruka
mod_rewrite i redirect 301	Mitrović Srđan	Regular expression i htaccess	3	11. 09. 2008. 00:33
mod_rewrite	Predrag Gajić	PHP	3	27. 02. 2008. 17:28
mod_rewrite na Apache 2.2	Nemanja Avramović	Regular expression i htaccess	3	05. 08. 2007. 22:34
problem sa mod_rewrite...	krcko	Regular expression i htaccess	5	08. 06. 2007. 04:03
mod_rewrite problem	McChoban	Regular expression i htaccess	8	26. 08. 2006. 16:13