bezpečnost databáze.

HackForum

bezpečnost databáze.#
Mám web a ten načítá texty z db. Když je v textu php script tak se načte ale nezpracuje. Když zobrazím zdroják, tak je tam všechno ale nezpracované. Jak to zpracovat? Na co si mám dát pozor aby byl web bezpečný? Vstupy ošetřuji přes htmlspecialchars, injekci mám vychytanou, SQL injekce nevím, snad taky..

----------
nehádej se, nemá to cenu | osobní blog: [link]
(odpovědět)
mzk | E-mail | Website9.12.2006 17:52
re: bezpečnost databáze.#
Nejsem si úplně jistej, ale pokud přece načítáš nějaký části PHP kódu z DB, tak se ti nemůžou vykonat - musej bejt přece nahraný ve stránce, která má koncovku *.php (*.php3,*.php4...) - to je jako bys uložil kus PHPka do stránku s koncovkou *.htm a divil se, proč to nejde ;-)

----------
Hacker hledá chyby, lama jich zneužívá.
(odpovědět)
MyFlower | E-mail | Website | ICQ 3355181199.12.2006 19:36
re: bezpečnost databáze.#
napriklad bys to moh z databaze ulozit do souboru, ten includovat a pak ho smazat.. nevim je to takovy divny..
(odpovědět)
pv | 85.207.0.*9.12.2006 20:30
re: bezpečnost databáze.#
v db mám <? echo "blabla"; ?> a když přečtu tak se mi nic nezobrazí. říkám, to je divný, tak se kouknu do zdrojáku a tam vidím přesně to samé. Jako by to bylo v napsané v html soubrou ale není. . Takle se to děje na localhostu, tak to ještě zkusím na FTP zítra.

----------
nehádej se, nemá to cenu | osobní blog: [link]
(odpovědět)
mzk | E-mail | Website9.12.2006 22:57
re: bezpečnost databáze.#
ty lamo, jasne ze takhle je to ve zdrojaku, protoze takhle to vypysuje samo php, tak proc by to s tim melo neco delat, kdyz to povazuje ne za kus kodu, ale za string ... a jestli se divis proc to je v html kodu a "neni to videt", tak uvazuj jak se taguje v html. browser to asi povazuje za tag, a nic nedela. to je jako kdybys napsal <br /> a divil se proc se to nenapsalo, ale proc to odradkovalo ...
(odpovědět)
dayvee | Website | ICQ 26899873310.12.2006 0:32
re: bezpečnost databáze.#
jo a jestli to chces vykonat jako php prikaz ("spustit string"), tak na to je nejakej prikaz, gůgluj
(odpovědět)
dayvee | Website | ICQ 26899873310.12.2006 0:33
re: bezpečnost databáze.#
[link]
(odpovědět)
Mrkva | 213.180.50.*10.12.2006 12:04
re: bezpečnost databáze.#
eval("tenhle retezec se vypíše rovnou <?php echo(\"a tenhle za pomocí php\");print(\"něco jako include()\");?>");
(odpovědět)
nejmenuje | E-mail | Website | ICQ 26000797610.12.2006 13:11

Zpět
 
 
 

 
BBCode