+- Praca w domu - Dodatkowa Praca - Zarabianie przez Internet (https://zarabiam.com)
+-- Dział: Zarządzanie stronami Internetowymi (/Forum-Zarzadzanie-stronami-Internetowymi-358)
+--- Dział: Hostingi i Serwery (/Forum-Hostingi-i-Serwery-359)
+--- Wątek: Ochrona przed atakami (/Temat-Ochrona-przed-atakami-131568)
Ochrona przed atakami - supercola - 09-04-2016 09:52
Witam,
Mam takowe pytanie.. Skrypt, który zakupiłem jest podatny zapewne na ataki XSS, mógłby mi ktoś powiedzieć jak zmieniać te skrypty, żeby je zabezpieczyć ? Zna się ktoś na tym ? Te całe... strip_tags, addslashes, stripslashes oraz
htmlspecialchars, nie ogarniam jak to stosować w gotowym skrypcie, Pozdrawiam, czekam na odpowiedź.
@Edit
Dałoby zastosować funkcję "Zamień" i zamieniać jakiś wyraz na inny, żeby się ochronić ?
RE: Ochrona przed atakami - ClassAxion - 09-04-2016 10:28
Skrypt jest zrobiony na bazie mysql a nie mysqli/pdo?
Ochrona przed atakami - Styler - 09-04-2016 12:34
Chodzi Ci o tz. "Wstrzykiwanie sql'a" i możliwość zmiany bazy przez każdego, obeznanego hackera bez konieczności znania jakichkolwiek haseł?
RE: Ochrona przed atakami - supercola - 09-04-2016 14:31
(09-04-2016 10:28)ClassAxion napisał(a): Skrypt jest zrobiony na bazie mysql a nie mysqli/pdo?
Chyba jest na bazie mysql, bo tylko to mam i tylko tam bazę na pma wgrywałem. Dodatkowo mam node.js na stronie, bo jest tam pewna gierka.
(09-04-2016 12:34)Styler napisał(a): Chodzi Ci o tz. "Wstrzykiwanie sql'a" i możliwość zmiany bazy przez każdego, obeznanego hackera bez konieczności znania jakichkolwiek haseł?
Tak, atak xss
Wie ktoś jak się zabezpieczyć prosto ?
RE: Ochrona przed atakami - Apps - 09-04-2016 14:36
(09-04-2016 14:31)supercola napisał(a): Tak, atak xss
Wie ktoś jak się zabezpieczyć prosto ?
Czyli nie XSS tylko SQL Injection. Tam gdzie masz update/insert możesz użyć mysql_escape_string, addslashes, filtrować dane itp. itd, dużo pisania.
Wrzuć w google SQL Injection to znajdziesz dużo porad.
Najbezpieczniej było by przerzucić się na PDO
RE: Ochrona przed atakami - Styler - 09-04-2016 14:42
Jeśli chodzi o wstrzykiwanie SQLa to dajesz "htmlentities" i przez "mysqli_real_escape_string".
RE: Ochrona przed atakami - supercola - 09-04-2016 15:19
(09-04-2016 14:36)Apps napisał(a):(09-04-2016 14:31)supercola napisał(a): Tak, atak xss
Wie ktoś jak się zabezpieczyć prosto ?
Czyli nie XSS tylko SQL Injection. Tam gdzie masz update/insert możesz użyć mysql_escape_string, addslashes, filtrować dane itp. itd, dużo pisania.
Wrzuć w google SQL Injection to znajdziesz dużo porad.
Najbezpieczniej było by przerzucić się na PDO
Gościu pisał mi, że strona podatna jest na ataki xss, że moze wykradać ciasteczka, ble ble ble... I pisał mi właśnie o tym strip_tags, addslashes, stripslashes oraz htmlspecialchars ... Tylko nie wiem jak to stosować :/
Korzystam z Mydevil.pl - Byłby ktoś skłonny pomóc w zabezpieczeniu skryptu za jakąś opłatą ?
Prosiłbym o pisanie na PW
RE: Ochrona przed atakami - ClassAxion - 09-04-2016 16:04
(09-04-2016 14:31)supercola napisał(a): Dodatkowo mam node.js na stronie, bo jest tam pewna gierka.
Czyli to co chcesz poprawić jest pisane w PHP czy w NodeJS?
RE: Ochrona przed atakami - supercola - 09-04-2016 17:34
(09-04-2016 16:04)ClassAxion napisał(a):(09-04-2016 14:31)supercola napisał(a): Dodatkowo mam node.js na stronie, bo jest tam pewna gierka.
Czyli to co chcesz poprawić jest pisane w PHP czy w NodeJS?
Chce poprawić wszystko, gdyż skrypt który mam posiada osoba, która gdy widzi ten skrypt wie gdzie jest luka ... Wchodzi na panel admina, do bazy i po prostu ustawia przekierowania na swoją stronę i zapewne też okrada.. Dlatego chciałbym to zabezpieczyć :/