Pomoc se zabezpečením webu

3. 4. 2010 22:56:47

Zdravím,

sháním někoho, kdo by mi mohl pomoci se zabezpečením webu. Jde o základní zabezpečení. Vím, že je možné se dostat do databáze, kterou web využívá, ale nevím proč a jakým způsobem se kdo může dostat k souboru, který se spojuje s databází, kde je zapsáno i heslo a jméno.

Pište PM, díky.

3. 4. 2010 22:56:47

https://webtrh.cz/diskuse/pomoc-se-zabezpecenim-webu/#reply485362

kwoky

7. 4. 2010 15:13:51

Dobrý den,

jsem ochotný Vám pomoci. Sám jsem právě v procesu zabezpečování vlastních webů, takže je to pro mě aktuální věc. Pošlete mi prosím více informací.

S pozdravem

Jan Němec

7. 4. 2010 15:13:51

https://webtrh.cz/diskuse/pomoc-se-zabezpecenim-webu/#reply485361

Mario Dian

(5 hodnocení)

15. 4. 2010 04:05:37

Pred pracou s databazou pretlac jednotlive indexy pola $_REQUEST cez mysql_real_escape_string() eventualne aj cez stripslashes();

Kazdopadne ja radsej pouzivam vlastne funkcie, ktore mi zahodia vsetko, co do databazy nema ist. Cize ak viem, ze chcem vkladat cisla, tak je logicke ze v takej query nemaju co hladat uvodzovky, rovna sa atd a explicitne danu premennu este aj pretypujem..

15. 4. 2010 04:05:37

https://webtrh.cz/diskuse/pomoc-se-zabezpecenim-webu/#reply485360

(20 hodnocení)

16. 4. 2010 23:42:41

Napsal tommyhot;496570
Kazdopadne ja radsej pouzivam vlastne funkcie, ktore mi zahodia vsetko, co do databazy nema ist. Cize ak viem, ze chcem vkladat cisla, tak je logicke ze v takej query nemaju co hladat uvodzovky, rovna sa atd a explicitne danu premennu este aj pretypujem..

lepsi nez zahodit by bylo vypsat chybu uzivateli ze vlozil neco co nemel a dotaz vubec neprovadet ;) kazdopadne je to ale dobry pristup a pouzivam ho taky

16. 4. 2010 23:42:41

https://webtrh.cz/diskuse/pomoc-se-zabezpecenim-webu/#reply485359

Václav Pešice ml.

(6 hodnocení)

17. 4. 2010 23:32:42

můžete dát nějaký konkrétní příklad? používám pro celý web desítky možná stovky dotazů na databázi a docela by mne zajímalo zda je možné nějakým způsobem ošetřit jednotně všechny tyto dotazy.

17. 4. 2010 23:32:42

https://webtrh.cz/diskuse/pomoc-se-zabezpecenim-webu/#reply485358

(22 hodnocení)

18. 4. 2010 09:34:48

nevím proč a jakým způsobem se kdo může dostat k souboru, který se spojuje s databází, kde je zapsáno i heslo a jméno.

urcite ma dany subor IBA "koncovku" .php? (ziadne .inc, .config atd?)

ak sa tento subor includuje do ineho (hlavneho suboru), je zabazpeceny proti samotnemu nacitaniu bez inkluzie?

nieco v style: hlavny subor: $kontrola="kontrola"; a v subore z db udajmi na zaciatku: if ($kontrola!="kontrola") { die(); }

18. 4. 2010 09:34:48

https://webtrh.cz/diskuse/pomoc-se-zabezpecenim-webu/#reply485357

(5 hodnocení)

18. 4. 2010 11:22:29

Co se týče zabezpečení SQL dotazů, tak pro čísla proměnnou přetypuji, řetězce pak nechám projít touto funkcí:

function mysqltext($text)

{

if( ini_get('magic_quotes_gpc') )

$text = stripslashes($text);

return mysql_escape_string( trim($text) );

}

Někdo pro jistotu ruší po připojení k SQL databázi i proměnné, které obsahují přihlašovací údaje (fce unset).

Ještě co se týče jednoduché úpravy pro všechny dotazy najednou, budeš je muset nejspíš všechny projít a ručně upravit. V případě, že máš pro textové řetězce nějakou funkci napsanou, stačí upravit ji.

Includování samotných PHP souborů je pak řešeno, jak už bylo řečeno výše, kontrolou proměnné/konstanty, např. takto:

main.php:

define('WWW', true);

začátek inkludovaného souboru:

Také je dobré zakázat v ostrém provozu výpis chybových hlášek:

ini_set('display_errors', 'Off');

18. 4. 2010 11:22:29

https://webtrh.cz/diskuse/pomoc-se-zabezpecenim-webu/#reply485356

Ondrej Machala

(27 hodnocení)

18. 4. 2010 11:56:05

Používej kvalitní framework a nemáš problém ;-)