DevProTalk

Forumi IT profesionalaca
web development, web design, e-business, SEO


Idite nazad   DevProTalk > Web development i web aplikacije > Regular expression i htaccess
Želite da se reklamirate ekskluzivno na ovoj poziciji? Javite se

Regular expression i htaccess regex, PCRE, POSIX, upotreba Apache .htaccess , mod_rewrite

Odgovori
 
Alati teme Način prikaza
Staro 05. 10. 2008.   #1
pitchweis
profesionalac
Qualified
 
Datum učlanjenja: 18.10.2006
Poruke: 104
Hvala: 19
10 "Hvala" u 6 poruka
pitchweis is on a distinguished road
Default Pomoć oko mod_rewrite

dragi forumaši,
imam jedan problem, instalirao sam noah`s classfields i traži neke izmene koje uopšte ne znam kako da izvedem. nikad to nisam radio pa bih zamolio nekog da mi objasni korak po korak - znači od nule. pogledao sam nešto, ali uzalud, a ne bih da nešto zabrljam, pa da mi posle treba večnost da ispravim.

evo linka šta treba da se uradi:

http://www.noahsclassifieds.org/docu...n/rewriterules
__________________
soon
pitchweis je offline   Odgovorite uz citat
Staro 05. 10. 2008.   #2
mileusna
Super Moderator
Knowledge base
 
Datum učlanjenja: 21.03.2006
Lokacija: Kragujevac
Poruke: 1.878
Hvala: 291
1.345 "Hvala" u 355 poruka
mileusna je jednostavno dobarmileusna je jednostavno dobarmileusna je jednostavno dobarmileusna je jednostavno dobarmileusna je jednostavno dobarmileusna je jednostavno dobarmileusna je jednostavno dobarmileusna je jednostavno dobarmileusna je jednostavno dobarmileusna je jednostavno dobar
Default

Da li je to shared hosting ili dedicated server?

Ako je shared, tj. ako nemaš pristup httpd.conf onda ignoriši sve gde se pominje httpd.conf, kod velike većine provajdera mod_rewrite je već omogućen po defaultu.

Dakle napravi .htaccess file u root folderu tvog sajta i tamo copy&paste sve ono što piše da treba da ide u .htaccess i to je to...
mileusna je offline   Odgovorite uz citat
Staro 14. 10. 2008.   #3
pitchweis
profesionalac
Qualified
 
Datum učlanjenja: 18.10.2006
Poruke: 104
Hvala: 19
10 "Hvala" u 6 poruka
pitchweis is on a distinguished road
Default

obrisao sam ono sto je bilo po defultu pa sam pastovao
Kôd:
RewriteCond %{DOCUMENT_ROOT}%{REQUEST_FILENAME} !-d
RewriteCond %{DOCUMENT_ROOT}%{REQUEST_FILENAME} !-f
RewriteRule ^(.*)$ /index.php?url=$1 [L]
i sada radi, ali ne daje nice urls.

Da li u ovom slučaju postoje neki sigurnosni propusti ili tako nešto što može da se skrši?
__________________
soon

Poslednja izmena od pitchweis : 14. 10. 2008. u 11:38.
pitchweis je offline   Odgovorite uz citat
Staro 14. 10. 2008.   #4
LiquidBrain
Milan Cvejic
Wrote a book
 
Avatar LiquidBrain
 
Datum učlanjenja: 05.09.2006
Lokacija: Beograd
Poruke: 1.241
Hvala: 32
73 "Hvala" u 56 poruka
LiquidBrain će postati "faca" uskoro
Pošaljite poruku preko Yahoo za LiquidBrain
Default

pa ako nije lepo sanitizovan parametar url moze da bude
__________________
http://weevify.com
LiquidBrain je offline   Odgovorite uz citat
Staro 14. 10. 2008.   #5
pitchweis
profesionalac
Qualified
 
Datum učlanjenja: 18.10.2006
Poruke: 104
Hvala: 19
10 "Hvala" u 6 poruka
pitchweis is on a distinguished road
Default

kako bih to mogao da znam pa da sprečim?
__________________
soon
pitchweis je offline   Odgovorite uz citat
Staro 14. 10. 2008.   #6
mileusna
Super Moderator
Knowledge base
 
Datum učlanjenja: 21.03.2006
Lokacija: Kragujevac
Poruke: 1.878
Hvala: 291
1.345 "Hvala" u 355 poruka
mileusna je jednostavno dobarmileusna je jednostavno dobarmileusna je jednostavno dobarmileusna je jednostavno dobarmileusna je jednostavno dobarmileusna je jednostavno dobarmileusna je jednostavno dobarmileusna je jednostavno dobarmileusna je jednostavno dobarmileusna je jednostavno dobar
Default

Pogledaj malo tematiku oko XSS. Ovo nije vezano za mod_rewrite, vеć uopšte za URL.

XSS se obično manifestuje tako što ti se kao jedan od parametara prosledi neki JavaScript koji ti onda nehotično ispišeš na svojoj web strani (jer taj parametar ispisuješ inače) što dovede do toga da se izvrši i maliciozni JavaScript kod umetnut na tvoju stranu kroz parametar.

Po tom pitanju, možda je mod_rewrite čak i sigurniji od dinamičkih URL adresa. Recimo, ako navodiš kategoriju kao URL parametar
mojsajt.com/prikaz.php?kategorija=Sport
i ukoliko XSS nije sanatizovan kroz skript, postoji mogućnost da neko prosledi URL tipa
mojsajt.com/prikaz.php?kategorija=<script>alert('prc');</script> ili slično

Sad druge strane ako koristiš mod rewrite, možeš napraviti rule:

RewriteCond %{REQUEST_URI} ^/kategorija/[a-zA-Z]+$

zahvaljujući čemu sprečavaš bilo šta što nije sastavljeno samo od slova ([a-zA-Z]) da prođe na skript za prikaz kategorija.

P.S. Verujem i da će se jedan DTP korisnik ubrzo javiti na ovaj thread sa više informacija o XSS-u.
mileusna je offline   Odgovorite uz citat
Staro 14. 10. 2008.   #7
LiquidBrain
Milan Cvejic
Wrote a book
 
Avatar LiquidBrain
 
Datum učlanjenja: 05.09.2006
Lokacija: Beograd
Poruke: 1.241
Hvala: 32
73 "Hvala" u 56 poruka
LiquidBrain će postati "faca" uskoro
Pošaljite poruku preko Yahoo za LiquidBrain
Default

Pa lepo ti je mileusna objasnijo... samo se uveri da se svi parametri u url-u lepo obradjuju... to jest da ih ne koristish pre ciscenja. Dozvoli samo velika i mala slova brojeve i srednju i donju crtu
__________________
http://weevify.com
LiquidBrain je offline   Odgovorite uz citat
Staro 14. 10. 2008.   #8
mileusna
Super Moderator
Knowledge base
 
Datum učlanjenja: 21.03.2006
Lokacija: Kragujevac
Poruke: 1.878
Hvala: 291
1.345 "Hvala" u 355 poruka
mileusna je jednostavno dobarmileusna je jednostavno dobarmileusna je jednostavno dobarmileusna je jednostavno dobarmileusna je jednostavno dobarmileusna je jednostavno dobarmileusna je jednostavno dobarmileusna je jednostavno dobarmileusna je jednostavno dobarmileusna je jednostavno dobar
Default

Za sprečavanje XSS-a je krucijelno enkodiranje svega što se ispisuje na HTML strani a prosleđuje se kao URL parametar.

Dakle ako ti neko prosledi parametar <script>alert('prc');</script> i ti ga takvog ispišeš u HTML onda će se na tvojoj stranici izvršiti maliciozni JavaScript.

No, ukoliko svaki URL parametar pre ispisa provučeš kroz, recimo u slučaju PHP-a, funkciju htmlspecialchars, onda će se <script> pretvoriti u &lt;script&gt; i tretiraće se kao tekst te postaje bezopasan.

Naravno ima tu još toga, nisam stručnjak, ali vođenje računa o ovome zatvara mislim 95% XSS rupa.
mileusna je offline   Odgovorite uz citat
Staro 14. 10. 2008.   #9
pitchweis
profesionalac
Qualified
 
Datum učlanjenja: 18.10.2006
Poruke: 104
Hvala: 19
10 "Hvala" u 6 poruka
pitchweis is on a distinguished road
Default

hvala na odgovorima, nadam se da ću u skorije vreme razumeti o čemu pričate
__________________
soon
pitchweis je offline   Odgovorite uz citat
Odgovori



Pravila pisanja
Možete ne započinjati nove teme
Možete ne slati odgovore
Možete ne slati priloge
Možete ne izmeniti svoje poruke
vB kôd je Uključen
Smajliji su Uključen
[IMG] kod je Uključen
HTML kôd je Isključen
Pogledajte forum

Slične teme
Tema Početna poruka teme Forum Odgovori Poslednja poruka
mod_rewrite i redirect 301 Mitrović Srđan Regular expression i htaccess 3 11. 09. 2008. 00:33
mod_rewrite Predrag Gajić PHP 3 27. 02. 2008. 17:28
mod_rewrite na Apache 2.2 Nemanja Avramović Regular expression i htaccess 3 05. 08. 2007. 22:34
problem sa mod_rewrite... krcko Regular expression i htaccess 5 08. 06. 2007. 04:03
mod_rewrite problem McChoban Regular expression i htaccess 8 26. 08. 2006. 16:13


Vreme je GMT +2. Trenutno vreme je 02:11.


Powered by vBulletin® Verzija 3.6.8
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
Copyright © DevProTalk. All Rights Reserved.
Mišljenja, saveti, izjave, ponude ili druge informacije ili sadržaji nastali na Sajtu su vlasništvo onoga ko ih je kreirao, a ne DevProTalk.com, tako da ne morate da se oslanjate na njih.
Autori poruka su jedini odgovorni za ovakve sadržaje. DevProTalk.com ne garantuje tačnost, kompletnost ili upotrebnu vrednost informacija, stavova, saveta ili datih izjava. Ne postoje uslovi pod kojima bi mi bili odgovorni za štetu ili gubitak koji je posledica bilo čijeg oslanjanja na nepouzdane informacije, ili bilo kakve informacije nastale kroz komunikaciju između registrovanih članova.
Web sajt može sadržavati linkove na druge web sajtove na Internetu ili neke druge sadržaje. Ne kontrolišemo niti podržavamo te druge web sajtove, niti smo pregledali bilo kakve sadržaje na takvim sajtovima. Mi nećemo biti odgovorni za legalnost, tačnost ili prikladnost bilo kog sadržaja, oglasa, proizvoda, usluga ili informacije lociranim na ili distribuiranih kroz druge web sajtove, niti za bilo kakvu štetu nastalu kao posledica takvih informacija. DevProTalk.com drži i čuva druga prava vlasništva na web sajtu. Web sajt sadrže materijale zaštićene copyright-om, zaštitne znakove i druge informacije o pravu vlasništva ili softver. Članovi mogu poslatu informacije zaštićene pravima vlasništva njihovih nosilaca i ona ostaju zaštićena bez obzira da li su oni koji prenose te informacije to naveli ili ne. Osim informacija koje su u javnom vlasništvu ili za koje dobijete dozvolu, nemate pravo da kopirate, modifikujete ili na bilo koji način menjate, objavljujete, prenosite, distribuirate, izvršavate, prikazujete ili prodajte bilo koju informaciju zaštićenu pravima vlasništva. Slanjem informacija ili sadržaja na bilo koji deo DevProTalk.com, Vi automatski dozvoljavate i predstavljate garanciju da imate pravo da dozvolite DevProTalk.com ili članovima DevProTalk.com bespovratnu, kontinualnu, neograničenu, globalnu dozvolu da koriste, kopiraju, izvršavaju, prikazuju i distribuiraju takve informacije i sadržaje i da iz takvih sadžaja koriste bilo koji deo u bilo koje svrhe, kao i pravo i dozvolu da koriste gore navedene sadržaje. Svi zaštitni znakovi (trademarks), logotipi, oznake usluga, firme ili imena proizvoda koji se pominju na ovom web sajtu su vlasništvo kojim raspolažu njihovi vlasnici.