DevProTalk

Forumi IT profesionalaca
web development, web design, e-business, SEO


Idite nazad   DevProTalk > Web development i web aplikacije > PHP
Želite da se reklamirate ekskluzivno na ovoj poziciji? Javite se

PHP PHP aplikacije, Smarty, PEAR

Odgovori
 
Alati teme Način prikaza
Staro 08. 11. 2006.   #21
Aleksandar.Ilic
old school
Expert
 
Datum učlanjenja: 30.04.2006
Poruke: 464
Hvala: 39
48 "Hvala" u 28 poruka
Aleksandar.Ilic is on a distinguished road
Default

Pa to je i najsigurniji nacin. Ja uvek hardkodiram inkludovanja. Manje boli glava, kod nije sporiji i naravno, definitivno je daleko pregledniji.
Samo sto eto, neki zele da pisu sto manji kod , jer ih mrzi da kucaju (ponekad) par desetina puta include (require)
__________________
Vesti sa juga --- BizBuzz
--- Vas mali oglas
Aleksandar.Ilic je offline   Odgovorite uz citat
Staro 08. 11. 2006.   #22
Ilija Studen
Direktor Kombinata
Invented the damn thing
 
Avatar Ilija Studen
 
Datum učlanjenja: 07.06.2005
Poruke: 2.669
Hvala: 44
119 "Hvala" u 64 poruka
Ilija Studen će postati "faca" uskoroIlija Studen će postati "faca" uskoro
Default

Citat:
Originalno napisao dinke
A sta ako user posalje nesto tipa page = ../../../foo ? ladno ce taj fajl traziti ispod page dira o kome pricas. Sve u svemu, vrlo insecure.
100% si u pravu. Rupčaga!

PHP kôd:
if(!preg_match("/^([a-zA-Z0-9_]*)$/"$page)) {
  die(
'Invalid file name');
// if 
Ili još jednostavnije:

PHP kôd:
if(strpos($page'.') !== false) {
  die(
'Invalid page name');
// if 
Citat:
Originalno napisao ivanhoe
ma bre Ilija sta fali tome da imas niz u kome pisu sve stranice koje je moguce inkludovati...ccc, sto ste bre toliko lenji...ova omladina, sve bi automatski

em je znatno sigurnije, em kad otvoris kod posle x meseci znas odmah koje strane se ukljucuju za koji ulazni parametar, bez da trazis po direktorijumima i tumacis mogucnosti...
Ručno moraš da edituješ fajl ako nešto dadaš što je ponekad smor. Oba će raditi posao bez ikakvih problema, tako da je sve manje više stvar ukusa... Ipak više volim kada skripta radi veći deo prljavog posla za mene.

Btw, ja bih od ovoga napravio klasu Prima dva parametra - odakle da pokupi ime stranice i gde su smeštene stranice. Dokle god je interfejs klase čitak bole me uvo šta je ispod haube. Tipa:

PHP kôd:
$dispatcher = new Dispatcher(dirname(__FILE__) . '/pages');
$dispatcher->dispatch(@$_GET['page']); 

Poslednja izmena od Ilija Studen : 08. 11. 2006. u 01:27.
Ilija Studen je offline   Odgovorite uz citat
Staro 08. 11. 2006.   #23
ivanhoe
Ivan Dilber
Sir Write-a-Lot
 
Avatar ivanhoe
 
Datum učlanjenja: 18.10.2005
Lokacija: Bgd
Poruke: 5.320
Hvala: 104
2.344 "Hvala" u 583 poruka
ivanhoe je ime poznato svimaivanhoe je ime poznato svimaivanhoe je ime poznato svimaivanhoe je ime poznato svimaivanhoe je ime poznato svimaivanhoe je ime poznato svimaivanhoe je ime poznato svimaivanhoe je ime poznato svimaivanhoe je ime poznato svimaivanhoe je ime poznato svimaivanhoe je ime poznato svima
Pošaljite poruku preko Skype™ za ivanhoe
Default

pa, uvek moze da se napravi zaseban ini fajl sa spiskom fajlova za include.. tako izbegavas editovanje koda...
__________________
Leadership is the art of getting people to want to do what you know must be done.
ivanhoe je offline   Odgovorite uz citat
Staro 08. 11. 2006.   #24
Ivan
Psychedelictrance freak
Wrote a book
 
Avatar Ivan
 
Datum učlanjenja: 04.06.2006
Lokacija: Srbija, Beograd
Poruke: 1.008
Hvala: 325
933 "Hvala" u 34 poruka
Ivan će postati "faca" uskoroIvan će postati "faca" uskoroIvan će postati "faca" uskoroIvan će postati "faca" uskoroIvan će postati "faca" uskoroIvan će postati "faca" uskoroIvan će postati "faca" uskoroIvan će postati "faca" uskoro
Pošaljite poruku preko Skype™ za Ivan
Default

Hm, vidim da je ovde iznete dosta pametnih stvari ali ajde da probam da sumiram ...

Prvo i najvaznije pravilo koje svi treba da zapamtimo je: Filtrirati ulaz i escajpapovati izlaz.

Sto znaci da ulazni podaci mogu biti samo oni koje nasa aplikacija moze i sme da koristi. U konkretnom slucaju, najpamentnije resenje sa gledista sigurnosti je koriscenje switch-a. Tj za svaki zahtev postoji deo koda koji barate njime. Sve ostale metode se mogu lakse ili teze exploitovati, dodavanjem specijalnih karaktera ili losom konfiguracijom servera. Dalje npr, ako su nam potrebni samo brojevi u nasam scriptu koje dobijamo preko GET-a onda ogranicite te varijable na brojeve. Ne ostavljajte mesta za nehendlovane situacije.
Sto se tice izlaza, uvek treba prikazivati samo ono sto smemo da prikazemo a to znaci da sav kod koji moze da se izvrsi u browseru usera a ne treba biti izvrsen treba sanitizovati.

Za pocetak je dovoljno poslusati ovaj savet gore jer cete se tim nacinom kodovanja osloboditi vecine XSS, CSLF, SQL injectiona, Directory Traversal, include propusta ...
Neko je vec rekao da treba forsirati POST sto je delimicno tacno jer ce tako skinuti scriptkiddie sa vrata ali to ipak nije pravo resenje.

Citat:
$page = isset($_GET['page']) ? $_GET['page'] : 'homepage';
Ovakav nacin pisanja koda (Ternary Operator) nije pozeljan zbog preglednosti koda.

Neko je pomenuo mod_security, a takodje i neka podesvanja u samom php-u ... Sve ovo resava neke sigurnosne probleme ali poenta je napisati siguran kod bez pomocnih sredstava jer u svakom trenutku moze doci do promene konfiguracije servera.

Citat:
Za vise informacija, mozda da potrazis "Php Architect Guide to Security", mislim da se tako zove knjiga.
Za pocetak:
http://phpsecurity.org/
http://phpsec.org/projects/guide/sr/

E kad ovo predjete onda krece pravo zezanje Ajax, CSRF, i sl ...
Ivan je offline   Odgovorite uz citat
Staro 08. 11. 2006.   #25
dee
Domagoj Horvat
Expert
 
Avatar dee
 
Datum učlanjenja: 24.07.2006
Lokacija: Zagreb
Poruke: 502
Hvala: 22
10 "Hvala" u 8 poruka
dee is on a distinguished road
Pošaljite ICQ poruku za dee
Default

Citat:
Originalno napisao Blood
Uh, kod koji sam postavio ne valja nista

Ako ti treba knjiga koju je Dinke spomenuo, javi mi se na pp i poslacu ti je...
trebalo bi meni...imas li jos koji primjerak?
__________________
postoje ludosti bez kojih je nemoguce ljudsko dostojanstvo
dee je offline   Odgovorite uz citat
Staro 08. 11. 2006.   #26
Ilija Studen
Direktor Kombinata
Invented the damn thing
 
Avatar Ilija Studen
 
Datum učlanjenja: 07.06.2005
Poruke: 2.669
Hvala: 44
119 "Hvala" u 64 poruka
Ilija Studen će postati "faca" uskoroIlija Studen će postati "faca" uskoro
Default

Citat:
Originalno napisao ivanhoe
pa, uvek moze da se napravi zaseban ini fajl sa spiskom fajlova za include.. tako izbegavas editovanje koda...
Ali dodaješ editovanje ini fajla. Šta si time dobio? Ništa... Još jedan fajl viška i dodatnu kompleksnost jer moraš da ga učitaš, parsiraš, izvučeš vrednost. Rad sa nizom unutar index.php je bolje rešenje od toga.

Pazi ovo, samo malo discipline i zdravog razuma: u /pages direktorijum samo stavljaš one stranice koje želiš da budu dostupne kroz index.php, nikakve druge gluposti. To je prvo i poslednje pravilo. Skripta radi ostatak.

Off Topic:
Citat:
Originalno napisao Ivan
Ovakav nacin pisanja koda (Ternary Operator) nije pozeljan zbog preglednosti koda.
Sorry, već sam par puta od jutros krenuo da odgovorim pa zatvorio reply prozor. Ipak ne mogu da se suzdržim. Moram:



TO je izuzetno praktična stvar dokle god ga koristiš sa osnovnom dozom zdravog razuma, a trudim se da verujem da je prosečan PHP developer ima


Bah, i evo mene opet u ovakvim diskusijama i sa istim tonom. A obećao sam da neću više

Poslednja izmena od Ilija Studen : 08. 11. 2006. u 13:10.
Ilija Studen je offline   Odgovorite uz citat
Staro 08. 11. 2006.   #27
ivanhoe
Ivan Dilber
Sir Write-a-Lot
 
Avatar ivanhoe
 
Datum učlanjenja: 18.10.2005
Lokacija: Bgd
Poruke: 5.320
Hvala: 104
2.344 "Hvala" u 583 poruka
ivanhoe je ime poznato svimaivanhoe je ime poznato svimaivanhoe je ime poznato svimaivanhoe je ime poznato svimaivanhoe je ime poznato svimaivanhoe je ime poznato svimaivanhoe je ime poznato svimaivanhoe je ime poznato svimaivanhoe je ime poznato svimaivanhoe je ime poznato svimaivanhoe je ime poznato svima
Pošaljite poruku preko Skype™ za ivanhoe
Default

Citat:
Originalno napisao Ilija Studen
Ali dodaješ editovanje ini fajla. Šta si time dobio? Ništa... Još jedan fajl viška i dodatnu kompleksnost jer moraš da ga učitaš, parsiraš, izvučeš vrednost. Rad sa nizom unutar index.php je bolje rešenje od toga.
ilija, nisi slusao na casovimal
PHP kôd:
$ini_array parse_ini_file("sample.ini"); 
ini fajl je laksi za odrzavanje nego niz, a i malkice je brze nego include php fajla (jedino ne znam da li je podrzano kesiranje rezultata od strane akceleratora ? )
__________________
Leadership is the art of getting people to want to do what you know must be done.
ivanhoe je offline   Odgovorite uz citat
Staro 08. 11. 2006.   #28
Misko
Milorad Tošić
Certified
 
Avatar Misko
 
Datum učlanjenja: 12.04.2006
Lokacija: Niš
Poruke: 87
Hvala: 1
4 "Hvala" u 4 poruka
Misko is on a distinguished road
Default

Uhhh... ovo se zove serija konstruktivnih odgovora... hvala puno svima... rešio sam problem
__________________
http://blog.webex.rs
Misko je offline   Odgovorite uz citat
Staro 08. 11. 2006.   #29
Ilija Studen
Direktor Kombinata
Invented the damn thing
 
Avatar Ilija Studen
 
Datum učlanjenja: 07.06.2005
Poruke: 2.669
Hvala: 44
119 "Hvala" u 64 poruka
Ilija Studen će postati "faca" uskoroIlija Studen će postati "faca" uskoro
Default

Citat:
Originalno napisao ivanhoe
ilija, nisi slusao na casovimal
Ništa novo ni iznenađujuće Ja sam na časovima programiranja čitao "Očevi i oci" i još par naslova (za Očevi i oci znam sigurno jer mi je profesorica oduzela knjigu i rekla da će se žaliti razrednoj; nije mi išlo u glavu što bi se bilo ko žalio na tako dobru knjigu? ).

Citat:
Originalno napisao ivanhoe
ini fajl je laksi za odrzavanje nego niz, a i malkice je brze nego include php fajla (jedino ne znam da li je podrzano kesiranje rezultata od strane akceleratora ? )
Ček, ček. Hoćeš da kažeš da je:

PHP kôd:
$ini_array parse_ini_file("sample.ini"); 
Brže od:

PHP kôd:
$allowed_pages = array('home''about''contact'); 
Ovo drugo sam imao na umu kada sam rekao "rešenje sa nizom" (Dinke je prvo to ponudio). Niz je unutar index.php jer nema poente da bude spolja.

Zip...

Poslednja izmena od Ilija Studen : 08. 11. 2006. u 19:58.
Ilija Studen je offline   Odgovorite uz citat
Staro 08. 11. 2006.   #30
oliver
expert
Expert
 
Avatar oliver
 
Datum učlanjenja: 16.06.2005
Lokacija: Novi Sad
Poruke: 580
Hvala: 1
0 "Hvala" u 0 poruka
oliver is on a distinguished road
Pošaljite ICQ poruku za oliver Pošaljite poruku preko Skype™ za oliver
Default

Citat:
Originalno napisao dee
trebalo bi meni...imas li jos koji primjerak?
ajd i meni, cini mi se da nemam to u "arhivi".

...ili okacite na Host011 tracker
__________________

oliver je offline   Odgovorite uz citat
Odgovori


Alati teme
Način prikaza

Pravila pisanja
Možete ne započinjati nove teme
Možete ne slati odgovore
Možete ne slati priloge
Možete ne izmeniti svoje poruke
vB kôd je Uključen
Smajliji su Uključen
[IMG] kod je Uključen
HTML kôd je Isključen
Pogledajte forum

Slične teme
Tema Početna poruka teme Forum Odgovori Poslednja poruka
Pokusaj hakovanja ili... mLAN Sva početnička pitanja 3 06. 12. 2010. 00:41
zaštita fotografija na web-u japan Web aplikacije, web servisi i software 6 14. 12. 2007. 19:16
Zaštita od DDoS napada LiquidBrain Web Hosting, web serveri i operativni sistemi 16 05. 08. 2007. 20:52


Vreme je GMT +2. Trenutno vreme je 22:28.


Powered by vBulletin® Verzija 3.6.8
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
Copyright © DevProTalk. All Rights Reserved.
Mišljenja, saveti, izjave, ponude ili druge informacije ili sadržaji nastali na Sajtu su vlasništvo onoga ko ih je kreirao, a ne DevProTalk.com, tako da ne morate da se oslanjate na njih.
Autori poruka su jedini odgovorni za ovakve sadržaje. DevProTalk.com ne garantuje tačnost, kompletnost ili upotrebnu vrednost informacija, stavova, saveta ili datih izjava. Ne postoje uslovi pod kojima bi mi bili odgovorni za štetu ili gubitak koji je posledica bilo čijeg oslanjanja na nepouzdane informacije, ili bilo kakve informacije nastale kroz komunikaciju između registrovanih članova.
Web sajt može sadržavati linkove na druge web sajtove na Internetu ili neke druge sadržaje. Ne kontrolišemo niti podržavamo te druge web sajtove, niti smo pregledali bilo kakve sadržaje na takvim sajtovima. Mi nećemo biti odgovorni za legalnost, tačnost ili prikladnost bilo kog sadržaja, oglasa, proizvoda, usluga ili informacije lociranim na ili distribuiranih kroz druge web sajtove, niti za bilo kakvu štetu nastalu kao posledica takvih informacija. DevProTalk.com drži i čuva druga prava vlasništva na web sajtu. Web sajt sadrže materijale zaštićene copyright-om, zaštitne znakove i druge informacije o pravu vlasništva ili softver. Članovi mogu poslatu informacije zaštićene pravima vlasništva njihovih nosilaca i ona ostaju zaštićena bez obzira da li su oni koji prenose te informacije to naveli ili ne. Osim informacija koje su u javnom vlasništvu ili za koje dobijete dozvolu, nemate pravo da kopirate, modifikujete ili na bilo koji način menjate, objavljujete, prenosite, distribuirate, izvršavate, prikazujete ili prodajte bilo koju informaciju zaštićenu pravima vlasništva. Slanjem informacija ili sadržaja na bilo koji deo DevProTalk.com, Vi automatski dozvoljavate i predstavljate garanciju da imate pravo da dozvolite DevProTalk.com ili članovima DevProTalk.com bespovratnu, kontinualnu, neograničenu, globalnu dozvolu da koriste, kopiraju, izvršavaju, prikazuju i distribuiraju takve informacije i sadržaje i da iz takvih sadžaja koriste bilo koji deo u bilo koje svrhe, kao i pravo i dozvolu da koriste gore navedene sadržaje. Svi zaštitni znakovi (trademarks), logotipi, oznake usluga, firme ili imena proizvoda koji se pominju na ovom web sajtu su vlasništvo kojim raspolažu njihovi vlasnici.