Вопрос по безопасности скрипта

Главная страница

Создание сайтов

Блог Кузнецова М.В.

Статьи о PHP

PHP-скрипты

Статьи об Apache

Форум С++

Консультации

Форум "Про Жизнь"

Форум:	Форум PHP	Форум Apache	Форум Регулярные Выражения	Форум MySQL	HTML+CSS+JavaScript	Форум Flash	Разное
Новые темы:	0	0	0	0	0	0	0

Здравствуйте, Посетитель!

вид форума:

тема: Вопрос по безопасности скрипта

следующая тема

предыдущая тема

	автор: Ivan (05.12.2005 в 05:02) письмо автору
	Кто знает, чего хотел добиться посетитель гостевой вот на этой страничке: http://asia-business.ru/guest.php (имеются в виду последние несколько сообщений, датированные 4 декабря) Уж не злое ли замышляют враги?

	автор: DDK (05.12.2005 в 10:42) письмо автору
	для: Ivan (05.12.2005 в 05:02)
	Нет :) Видно этомсу товарищу моча в голову ударила просто... Про безопасность - у вас перед саписью в базу переменные экранируются при помощи mysql_escape_string() ? Это самая опасная дыра, которая возможна, пожалуй.

	автор: Ivan (06.12.2005 в 03:00) письмо автору
	для: DDK (05.12.2005 в 10:42)
	mysql_escape_string() нету, насколько помню, там убираются несколько потенциально опасных значков и словечек с помощью ereg_replace и все, кажется. Может, подстраховаться? Просто в последнее время какая-то нездоровая активность наблюдается вокруг сайта, письма всякие на ящик чуть ли не от хост-провайдера с просьбами про пароли... Чувствую, скоро надо будет разоряться на хорошую книжку по безопасности. Кстати, кто посоветует?

	автор: cheops (06.12.2005 в 11:22) письмо автору
	для: Ivan (06.12.2005 в 03:00)
	В 2006 году выйдет наша книга "PHP-головоломки для хакера", большая часть которой будет посвящена вопросам безопасности. Книга состоит из двух частей: задач и ответов к ним.

	автор: Loki (05.12.2005 в 10:43) письмо автору
	для: Ivan (05.12.2005 в 05:02)
	Обычный почтовый заголовок... может пытались через вашу гостевую письма отправлять?

	автор: DDK (05.12.2005 в 10:44) письмо автору
	для: Loki (05.12.2005 в 10:43)
	Даа... ржунимагу, если это так :))) Насколько нужно быть куль-хацкером, что бы догадаться через гостевую письма отправлять :))

	автор: Loki (05.12.2005 в 12:12) письмо автору
	для: DDK (05.12.2005 в 10:44)
	Вполне реально: ведь уведомление о новой записи в гостевой, как правило, отсылается ее хозяину. Если данные из формы подставляются в заголовок, то туда можно много чего запихать.

	автор: Akira (06.12.2005 в 08:49) письмо автору
	для: Loki (05.12.2005 в 12:12)
	Извращенный у вас ум Александр :))) Кто же будет себе на email слать весь текст книги? В лучшем случаем дату и тему ;)

	автор: Loki (06.12.2005 в 09:46) письмо автору
	для: Akira (06.12.2005 в 08:49)
	А вот тут вы заблуждаетесь, Александр. Уже неоднократно встречал подобные настройки. Например, в форуме ixbt.com при уведомлении о новом ответе в качестве обратного адреса подставляется имя и адрес автора ответа (то есть данные непосредственно в header). Другой вопрос, что они проверяются при регистрации. Если вы обратили внимание, то попытка подставить заголовки в поле имени была произведена тоже.

	автор: cheops (06.12.2005 в 11:16) письмо автору
	для: Akira (06.12.2005 в 08:49)
	>Кто же будет себе на >email слать весь текст книги? Я, например, бы стал бы... например, чтобы обдумать ответ, если он требуется...