Обучение/Помощь новичкам | Ид взлом дцмс
EvilLord
Как же я люблю запах горелых пердаков 
668582623 (10.08.2021 в 10:08)
Пупсь , а какая разница какой источник когда инфа достоверная? M.r.e.s не защищает проект на 100% и ЭТО ФАКТ. Нужно пользоваться подготовленными запросами. Пользоваться mysql и обычными запросами mysqli в 2021 году - ЧИСТОЕ БЕЗУМИЕ! Потом и появляются на свете дырявые скрипты из-за таких как ты...
Пупсь , а какая разница какой источник когда инфа достоверная? M.r.e.s не защищает проект на 100% и ЭТО ФАКТ. Нужно пользоваться подготовленными запросами. Пользоваться mysql и обычными запросами mysqli в 2021 году - ЧИСТОЕ БЕЗУМИЕ! Потом и появляются на свете дырявые скрипты из-за таких как ты...
Экранировать кавычками нужно данные, и все будет нормально.
TuT , зачем говнокодить, когда в мире давно используется проработанное решение? Одним экранированием на 100% защищен не будешь. Нужно подготавливать запрос, шаблонизировать его. Когда-то я использовал PDO для обычных запросов, и экранировал кавычки. Потом мой сайт взломал человек имеющий опыт с sql инъекциями. Этот же человек посоветовал мне написать класс для работы с подготовленными запросами PDO через prepare/execute вместо обычных, как в нормальном цивилизованном мире. Даже если экранирование обойдут и вредоносный код отправится на сервер, то он всё равно не будет исполнен, вместо него подставлен знак вопроса. Всё просто и понятно. А главное гарантирует на 100% защиту. Зачем говнокодить и спорить?
Есть куча методов по обходу экранирования, но доступны они айти гуру и зависит от особенностей настроек сервера.
________
посл. ред. 11.08.2021 в 10:12; всего 5 раз(а); by 668582623
Есть куча методов по обходу экранирования, но доступны они айти гуру и зависит от особенностей настроек сервера.
________
посл. ред. 11.08.2021 в 10:12; всего 5 раз(а); by 668582623
Mr.Max 668582623 (10.08.2021 в 07:52)
Нууу например через глобальные переменные $_SERVER . Всё что начинается с HTTP легко подменяется пользователем, например HTTP_HOST, HTTP_REFERER или HTTP_USER_AGENT . И в дцмс они плохо фильтруются местами
Нууу например через глобальные переменные $_SERVER . Всё что начинается с HTTP легко подменяется пользователем, например HTTP_HOST, HTTP_REFERER или HTTP_USER_AGENT . И в дцмс они плохо фильтруются местами
Для глобалок есть отдельные фильтры
Если грамотно писать код никто тебя не взломает нужно помнить про фильтры на вход и выход + есть ещё такая штука как штакет (.htaccess) даже здесь можно настроить ЧПУ ссылок, запросов и прочего так что взломщик будет в штупоре + PDO . Понятно что mysql уже свое отжил. Нужно понимать как работает та или инная функция и за что она отвечает в php чтобы как минимум не допускать того за что можно заплатить сайтом . Есть много недокодеров которые просто строчат код даже не понимая что они пишут , а потом вуаля ...
Евгений Пупсь (10.08.2021 в 10:26)
И после этого ты меня отправляешь читать мануалы?
Писать класс для работы с PDO?
Ну да. А еще написать функцию для вывода текста на экран, ведь на все нужен велосипед и того, что есть в интерпретаторе мало.
Беседа с тобой окончена.
И после этого ты меня отправляешь читать мануалы?
Писать класс для работы с PDO?
Ну да. А еще написать функцию для вывода текста на экран, ведь на все нужен велосипед и того, что есть в интерпретаторе мало.
Беседа с тобой окончена.
ООП эт называется
Mr.Max , в целом, dcms как в новых, так и в старых экземплярах - отличный пример того, как НЕ стоит писать код. Нет даже токенов к URL. можно удалять чужие аватары, можно подсовывать ссылки и заставлять пользователей выполнять то, чего они не хотели выполнять.
________
посл. ред. 11.08.2021 в 12:48; всего 1 раз(а); by 668582623
________
посл. ред. 11.08.2021 в 12:48; всего 1 раз(а); by 668582623
UNNIX , ты сам понял, что написал?) Сначала верно начал, потом сложилось впечатление, указывающее на то, что ты сам не понял, что написал...
________
посл. ред. 11.08.2021 в 12:51; всего 1 раз(а); by 668582623
________
посл. ред. 11.08.2021 в 12:51; всего 1 раз(а); by 668582623