Warning: Cannot use a scalar value as an array in /home/admin/public_html/forum/include/fm.class.php on line 757
Warning: Invalid argument supplied for foreach() in /home/admin/public_html/forum/include/fm.class.php on line 770
Warning: Invalid argument supplied for foreach() in /home/admin/public_html/forum/topic.php on line 737 Форумы портала PHP.SU :: Как защититься от sql-иньекции? [2]
Покинул форум
Сообщений всего: 7540
Дата рег-ции: Янв. 2010 Откуда: Чернигов
Помог: 299 раз(а)
С другой стороны он мог узнать пароль не из этого кода, скорее всего естьдругие дыры, и возможно там уже шел есть.
----- Если вы хотя бы 3-4 раза не решите всё выкинуть и начать заново - вы явно что-то делаете не так.
vsll
Отправлено: 11 Марта, 2011 - 16:48:04
Частый посетитель
Покинул форум
Сообщений всего: 530
Дата рег-ции: Февр. 2011
Помог: 10 раз(а)
Okula пишет:
Если в хеш идёт зашифрованный пароль или пароль + логин то имея данные подменить его не составляет никакого труда.
Как можно подменить данные (если авторизация на php, а не на js)
Okula
Отправлено: 11 Марта, 2011 - 16:53:55
Участник
Покинул форум
Сообщений всего: 1389
Дата рег-ции: Окт. 2010
Помог: 42 раз(а)
Vasiliya, подделать cookie по известному паролю и логину. это если алгоритм получения хеша при регистрации/авторизации не включает в себя никаких нюансов.
JustUserR
Отправлено: 12 Марта, 2011 - 11:50:57
Активный участник
Покинул форум
Сообщений всего: 8715
Дата рег-ции: Июнь 2009
Помог: 17 раз(а)
Okula пишет:
Подделать cookie по известному паролю и логину. это если алгоритм получения хеша при регистрации/авторизации не включает в себя никаких нюансов.
В качестве целевого метода решения предполагаеомй задачи, заключающейся в поддержании функционирования механизма авторизации пользователя на основании cookie-значений с хранением ассоциированной формы аутенфикационных информационных полей, допустимо применение хэширование относительно вариативного элементного списка, включающего сетевые параметры удаленного узла и конфигурацию браузера пользователя, что позволяет обеспечить практическую невозможность несанкционированного копирования cookie-значений, без осуществления применения сложных сетевых средств типа ip-spofing или изменения марштуризационной конфигурации
----- Сделать можно все что угодно - нужно только старание, терпение и хороший поисковик
Безлимитный web-хостинг от 15 рублей за 40 МБ дискового пространства - http://ihost[dot]oks71[dot]ru/
vsll
Отправлено: 12 Марта, 2011 - 15:07:17
Частый посетитель
Покинул форум
Сообщений всего: 530
Дата рег-ции: Февр. 2011
Помог: 10 раз(а)
JustUserR пишет:
ip-spoofing или изменения марштуризационной конфигурации
на оба способа одно бесплатное лекарство wireshark (DSL, ADSL only)
Все гости форума могут просматривать этот раздел. Только зарегистрированные пользователи могут создавать новые темы в этом разделе. Только зарегистрированные пользователи могут отвечать на сообщения в этом разделе.