Popis MojeID PHP API

21. 12. 2014 22:33:27

Chápem, ale presne na toto tam ochranu ani nemám, bolo by dobré asi to pozrieť, no skúšal som na Google hladať niečo o tejto problematike, no moc toho som nenašiel (neviem dobre hladať :D ), pod čím by som to mal presnejšie hladať? Vďaka :)

21. 12. 2014 22:33:27

https://webtrh.cz/diskuse/popis-mojeid-php-api/strana/2#reply1076191

Pavel Janků

(93 hodnocení)

21. 12. 2014 22:43:27

Napsal GAMELASTER;1151953
Chápem, ale presne na toto tam ochranu ani nemám, bolo by dobré asi to pozrieť, no skúšal som na Google hladať niečo o tejto problematike, no moc toho som nenašiel (neviem dobre hladať :D ), pod čím by som to mal presnejšie hladať? Vďaka :)

To nehledej, moc toho nenajdeš. Prostě proti tomuhle typu útoku se můžeš bránit především prevencí XSS (Cross-site scripting), kdy z principu máš neošetřený vstup (např. neescapovaný Javascript), přes který ti někdo pošle na stránku js, které vezme session id návštěvníka a odešle ho někam, typicky útočníkovi na server, pro další zpracování. Ty nesmíš útočníkovi dát možnost. Jak psal kolega, např. htmlspecialchars() ti pomůže, případně lze si napsat svoje fce, které odstraní z vkládaných dat apod.

21. 12. 2014 22:43:27

https://webtrh.cz/diskuse/popis-mojeid-php-api/strana/2#reply1076190

GAMELASTER

21. 12. 2014 22:44:48

Takže sa jedná hlavne o JavaScript? JavaScript tam hlavne pracuje s BootStrapom, z .GET om ani nie, takže si nemyslím že by to takto šlo, takže by asi problém s týmto nemal byť, no niesom si istý

21. 12. 2014 22:44:48

https://webtrh.cz/diskuse/popis-mojeid-php-api/strana/2#reply1076189

Pavel Janků

(93 hodnocení)

21. 12. 2014 22:46:56

Napsal GAMELASTER;1151956
Takže sa jedná hlavne o JavaScript? JavaScript tam hlavne pracuje s BootStrapom, z .GET om ani nie, takže si nemyslím že by to takto šlo, takže by asi problém s týmto nemal byť, no niesom si istý

Nejde o to, s čím pracuje tvoje stránka, jde o to, co ti za Javascript může poslat návštěvník :)

21. 12. 2014 22:46:56

https://webtrh.cz/diskuse/popis-mojeid-php-api/strana/2#reply1076188

Jan Matoušek

(12 hodnocení)

21. 12. 2014 22:47:13

no základ je mít výstupy ošetřené pomocí htmlspecialchars

nepředávat session id v url (to se snad dnes už ani neděje)

po přihlášení uživatele použít session_regenerate_id

PHP triky - Zabezpečení session proměnných

zde si něco můžeš počíst: http://www.phpguru.cz/clanky/nenechte-uhodnout-sid (je to seriál, dole jsou další články)

21. 12. 2014 22:47:13

https://webtrh.cz/diskuse/popis-mojeid-php-api/strana/2#reply1076187

Pavel Janků

(93 hodnocení)

21. 12. 2014 22:49:42

Napsal Jan Matoušek;1151958
no základ je mít výstupy ošetřené pomocí htmlspecialchars

blbost :) Co když potřebuje formátovat? Pokud nebude mít bb codes, ale klasické editory na bázi TinyMCE, potřebuje zobrazovat HTML kód. Potom je základ escapovat . Nemusí eliminovat veškeré html, stačí to nežádoucí.

21. 12. 2014 22:49:42

https://webtrh.cz/diskuse/popis-mojeid-php-api/strana/2#reply1076186

Jan Matoušek

(12 hodnocení)

21. 12. 2014 22:54:27

Napsal Pavel Janků;1151959
blbost :) Co když potřebuje formátovat? Pokud nebude mít bb codes, ale klasické editory na bázi TinyMCE, potřebuje zobrazovat HTML kód. Potom je základ escapovat . Nemusí eliminovat veškeré html, stačí to nežádoucí.

a co když ti dám do do webu ? :-)

sbírat html od uživatele a snažit se ho ošetřit je vždy o hubu. Navíc třeba TinyMce umí bbcode

21. 12. 2014 22:54:27

https://webtrh.cz/diskuse/popis-mojeid-php-api/strana/2#reply1076185

Pavel Janků

(93 hodnocení)

21. 12. 2014 23:59:43

Napsal Jan Matoušek;1151962
a co když ti dám do do webu ? :-)
sbírat html od uživatele a snažit se ho ošetřit je vždy o hubu. Navíc třeba TinyMce umí bbcode

nežádoucí html znamená i onmouseenter a jakékoliv další věci :) Ale neřeš, co umí a neumí BB kódy, prostě je to možný scénář.

21. 12. 2014 23:59:43

https://webtrh.cz/diskuse/popis-mojeid-php-api/strana/2#reply1076184

GAMELASTER

22. 12. 2014 08:31:04

Ahá, tak takto, ono iba administrátori vkladajú obsah, takže s týmto by problém nemal byť :) Ďakujem za pomoc :)

22. 12. 2014 08:31:04

https://webtrh.cz/diskuse/popis-mojeid-php-api/strana/2#reply1076183

GAMELASTER

25. 12. 2014 18:42:11

Teraz som trocha premýšlal a všimol som si, že aj povinné údaje sa dajú odškrtnúť, tak som si spravil podmienku že tam musia byť zaškrtnuté, lenže dotyčnému sa to ukladá a nemôže znova zobraziť dialóg stým aby si vyklikal tie potrebné, no neviem toho docieliť, skúsil som clearnúť NONE session no nepomohlo, čím sa to dá docieliť? (neviem to nikde nájsť :/ )

25. 12. 2014 18:42:11

https://webtrh.cz/diskuse/popis-mojeid-php-api/strana/2#reply1076182

Pavel Janků

(93 hodnocení)

25. 12. 2014 20:54:29

Napsal GAMELASTER;1152644
Teraz som trocha premýšlal a všimol som si, že aj povinné údaje sa dajú odškrtnúť, tak som si spravil podmienku že tam musia byť zaškrtnuté, lenže dotyčnému sa to ukladá a nemôže znova zobraziť dialóg stým aby si vyklikal tie potrebné, no neviem toho docieliť, skúsil som clearnúť NONE session no nepomohlo, čím sa to dá docieliť? (neviem to nikde nájsť :/ )

session_destroy(); :)

25. 12. 2014 20:54:29

https://webtrh.cz/diskuse/popis-mojeid-php-api/strana/2#reply1076181

GAMELASTER

25. 12. 2014 21:12:12

Nefunguje (btw to som skúšal tiež), ono to clearne iba webové sessiony, tu je problém s týmto: