| |
|
|
| | Здравствуйте, хотелось бы узнать можно ли у вас(у них) попросить протестировать безопасность скриптов(исходники выдаются)? Просто не знаю своего уровня безопасного программирования на php | |
| |
|
|
| |
|
|
| |
для: Alexneo
(29.06.2006 в 23:03)
| | | Выкладывайте посмотрим =)))) | |
| |
|
|
| |
|
|
| |
для: CrazyAngel
(29.06.2006 в 23:09)
| | | ок. спасибо. на днях. | |
| |
|
|
| |
|
|
| |
для: Alexneo
(29.06.2006 в 23:03)
| | | > Просто не знаю своего уровня безопасного программирования
такого нету, в скрипте либо есть дырка, либо нету, а уровня никакого нету... Да и темболее, чтобы писать скрипты свои без дыр, надо запомнить: все данные полученные из вне, надо обязательно проверять | |
| |
|
|
| |
|
|
| |
для: JIEXA
(30.06.2006 в 02:50)
| | | впринципе так и делаю, но возможно что-то упускаю. Вот и нужно чтоб подсказали что и где упустил, а где даже лишнее вставил(порой страдаю паранойей к безопасности) | |
| |
|
|
| |
|
|
| |
для: Alexneo
(30.06.2006 в 03:00)
| | | >порой страдаю паранойей к безопасности
не самое плохое свойство программиста, немного здоровой паранои никому не повредило :))) | |
| |
|
|
| |
|
|
| |
для: cheops
(30.06.2006 в 12:13)
| | | такс :) сессию сдал в учебном заведении, теперь можно и скрипт выложить вам для проверки. Увлекаюсь программированием на php достаточно долго и уже успел заметить, что актуальной темой написания скриптов является "авторизация пользователя". Вот хочу предложить свою версию - оцените уровень защищенности(дырявости). как и что можно поломать.
файл в аттаче. | |
| |
|
|
| |
|
|
| |
для: Alexneo
(01.07.2006 в 22:55)
| | | Дыр в самом механизме не заметил, но все же
Файл index.php
1. Строка 19
if(@$HTTP_POST_VARS['enter'] and $HTTP_POST_VARS['enter']="Вход")
|
Слишком громоздко, достаточно (if(!empty($_POST['enter']))
$HTTP_POST_VARS - устаревший синтаксис, лучше $_POST
2. Строка 35
session_destroy();
Вы же не начинали новую сессию. Если вам надо выйти из программы - используйте exit
3. Строка 44. Запрос лучше писать так:
$query="SELECT *
FROM 'cms_admins'
WHERE username='$login'
AND password='$pass_md5'";
|
Приучите себя к такому смысловому выделению основных составляющих, ваш код станет гораздо лучше восприниматься.
4. А где у вас стартует сессия? Вы же оперируете с переменными сессии.
Файл editor.php
1.
if(session_is_registered('login') and session_is_registered('pass_md5') and session_is_registered('accesslevel') and session_is_registered('lastlogin') and connect())
|
А зачем такой длинный код? Достаточно проверить наличие одной из 4-х переменных. | |
| |
|
|
| |
|
|
| |
для: Alexneo
(01.07.2006 в 22:55)
| | | В плане безопасности вроде всё нормально. | |
| |
|
|
