Warning: Cannot use a scalar value as an array in /home/admin/public_html/forum/include/fm.class.php on line 757

Warning: Invalid argument supplied for foreach() in /home/admin/public_html/forum/include/fm.class.php on line 770

Warning: Invalid argument supplied for foreach() in /home/admin/public_html/forum/topic.php on line 737
Форумы портала PHP.SU :: Сегодняшний баг

 PHP.SU

Программирование на PHP, MySQL и другие веб-технологии
PHP.SU Портал     На главную страницу форума Главная     Помощь Помощь     Поиск Поиск     Поиск Яндекс Поиск Яндекс     Вакансии  Пользователи Пользователи


 Страниц (1): [1]   

> Описание: PHP уязвимость
EuGen Администратор
Отправлено: 15 Октября, 2007 - 16:45:28
Post Id


Профессионал


Покинул форум
Сообщений всего: 9095
Дата рег-ции: Июнь 2007  
Откуда: Berlin


Помог: 707 раз(а)






-----
Есть в мире две бесконечные вещи - это Вселенная и человеческая глупость. Но насчет первой .. я не уверен.
 
 Top
ARTY
Отправлено: 16 Января, 2008 - 22:23:53
Post Id



Почетный посетитель


Покинул форум
Сообщений всего: 238
Дата рег-ции: Июнь 2006  


Помог: -2 раз(а)







EuGen пишет:
http://safe.cnews.ru/bugtrack/en...007/10/15/104303


Упс, а что то нам форум ссылки подрезает Однако

 
 Top
EuGen Администратор
Отправлено: 17 Января, 2008 - 11:10:17
Post Id


Профессионал


Покинул форум
Сообщений всего: 9095
Дата рег-ции: Июнь 2007  
Откуда: Berlin


Помог: 707 раз(а)




Да, я заметил. К сожалению, все старые ссылки (которые писались на форуме до перехода на старый движок), перестали работать.


-----
Есть в мире две бесконечные вещи - это Вселенная и человеческая глупость. Но насчет первой .. я не уверен.
 
 Top
ARTY
Отправлено: 17 Января, 2008 - 21:36:15
Post Id



Почетный посетитель


Покинул форум
Сообщений всего: 238
Дата рег-ции: Июнь 2006  


Помог: -2 раз(а)




EuGen пишет:
Да, я заметил. К сожалению, все старые ссылки (которые писались на форуме до перехода на старый движок), перестали работать.


Извиняюсь за оффтоп. Исправил баг с ссылками на форуме.
 
 Top
strong
Отправлено: 07 Февраля, 2008 - 12:30:05
Post Id



Новичок


Покинул форум
Сообщений всего: 38
Дата рег-ции: Авг. 2007  
Откуда: Украина


Помог: 0 раз(а)




EuGen пишет:


Просто есть тупые заказчики, которые не сильно хотят исправлять баги на сайтах. А за бесплатно работать не все хотят! А нормальные программисты, как минимум будут использовать .htaccess


-----
http://strety[dot]com/
http://spystamp[dot]net/
http://nigma.ru/m&alen_stoycheva/
 
My status
 Top
valenok
Отправлено: 07 Февраля, 2008 - 14:29:33
Post Id



Здесь могла бы быть ваша реклама


Покинул форум
Сообщений всего: 4574
Дата рег-ции: Июль 2006  
Откуда: Israel


Помог: 3 раз(а)




Цитата:
А нормальные программисты, как минимум будут использовать .htaccess

А как его использовать?
Извините, просто я не очень нормальный программист.


-----
Truly yours, Sasha.
 
My status
 Top
EuGen Администратор
Отправлено: 07 Февраля, 2008 - 17:55:21
Post Id


Профессионал


Покинул форум
Сообщений всего: 9095
Дата рег-ции: Июнь 2007  
Откуда: Berlin


Помог: 707 раз(а)




valenok, это сокральные тайны, которые нам с Вами постигнуть не дано.
А если серьезно, то .htaccess тут, я полагаю, ни при чем.


-----
Есть в мире две бесконечные вещи - это Вселенная и человеческая глупость. Но насчет первой .. я не уверен.
 
 Top
strong
Отправлено: 07 Февраля, 2008 - 19:29:43
Post Id



Новичок


Покинул форум
Сообщений всего: 38
Дата рег-ции: Авг. 2007  
Откуда: Украина


Помог: 0 раз(а)




valenok пишет:
Цитата:
А нормальные программисты, как минимум будут использовать .htaccess

А как его использовать?
Извините, просто я не очень нормальный программист.


Если чесно я не намного ушел от Ваших знаний. Я помню еще 2 месяца назад Вы мне давали советы! А вообще это поднастройка сервера, можно так сказать! Поищите в инете функцию RewriteRule ю Изучите и начните пользоваться ею! А там по ходу и все остальные найдете. Еще я использую в работах переадресацию при ошибках страниц. С помощью RewriteRule вы поднимете защиту ресурса от взломов, повысите читательность url. Т.е. url этой страницы у меня например http://forum.php.su/post.php?act...ostid=1202387373 , а можно было бы сделать http://forum.php.su/post/replyqu...21/21/1202387373 - это один из способов, самый простой. Т.е. хакер не увидит уже какие переменные использует страница и будет крайне тяжело в каждой странице угадать как например именована переменная! А главное посетители могут уже запомнить сам url и вернуться на него!


-----
http://strety[dot]com/
http://spystamp[dot]net/
http://nigma.ru/m&alen_stoycheva/
 
My status
 Top
evgenijj
Отправлено: 07 Февраля, 2008 - 19:53:42
Post Id



Участник


Покинул форум
Сообщений всего: 1212
Дата рег-ции: Авг. 2006  
Откуда: Москва


Помог: 10 раз(а)




strong пишет:
С помощью RewriteRule вы поднимете защиту ресурса от взломов, повысите читательность url. Т.е. url этой страницы у меня например http://forum.php.su/post.php?act...ostid=1202387373 , а можно было бы сделать http://forum.php.su/post/replyqu...21/21/1202387373 - это один из способов, самый простой. Т.е. хакер не увидит уже какие переменные использует страница и будет крайне тяжело в каждой странице угадать как например именована переменная! А главное посетители могут уже запомнить сам url и вернуться на него!

По поводу защиты - может быть. Хотя если писать грамотно, не полагаясь на "авось", нужды в этом нет. Слабая типизированность PHP и низкий уровень показа ошибок у хостеров расслабляют программистов. Нет привычки инициализировать переменные, проверять их - как в плане типа переменной, так и ее значения. К сожалению, даже таких известных, как Кузнецов и Симдянов с форума softtime.ru. Их форум, котрый они описывают в своей книге "Практика создания Web-сайтов" - наглядное пособие того, как не надо писать на PHP. При попытке установки их форума с выставленным error_reporting=E_ALL - получается нечто: зрелище не для слабонервных.
По поводу читабельности URL - звучит более, чем сомнительно. Ну кто это запомнит:
...467/254/1202387373
Да никто. Это просто наследие тех времен, когда основу WWW составляли статичные страницы. Почему сейчас это используется? Да потому что осталось еще некоторое количество поисковиков, у которых есть ограничения на количество индексируемых динамических страниц. У лидеров, вроде Google и Yandex уже давно нет таких ограничений. Это мулька аутсайдеров, вроде Aport, место которым - на свалке.
 
 Top
valenok
Отправлено: 07 Февраля, 2008 - 20:22:47
Post Id



Здесь могла бы быть ваша реклама


Покинул форум
Сообщений всего: 4574
Дата рег-ции: Июль 2006  
Откуда: Israel


Помог: 3 раз(а)




Цитата:
Если чесно я не намного ушел от Ваших знаний. Я помню еще 2 месяца назад Вы мне давали советы!

Буду рад если через 2 месяца благодаря мне и вы будете давать дельные советы =)

Насчёт читабельности url .. трудно согласится.
По опыту скажу - ни разу не запомнил такого типа url до сих пор.
Если очень нужно было - записывал. А так само собой - не запоминалось.
А две цифры id вместо целой даты и 10сти значного номера я осиливал.



Что такое мод рерайт и с чем его едят я знаю.
Как применить его к решению проблемы тут
я абсолютно не представляю. А как использовать его в других веб приложениях - так это только для сокрытия названий переменных.

Если в крепости замаскировать все ворота, это не значит что ворота будет трудно пробиваемы если их найдут. Это просто значит что ворота трудней найти будет.
Это конечно хорошо, ну нужно ли это я не уверен.
До сих пор я не встретил ни одно хакера который чтото взломал не пложив при этом сервер. Ну взлом домашней страницы Коли Бусова я сюда не отношу ..
А ещё мне кажется что какие post данные отсылаются - ктото сможет подсмотреть..

Цитата:
Еще я использую в работах переадресацию при ошибках страниц

Ага. а потом я бедный должен сидеть и тыркать историю туда обратно.
Честно - я вообще не люблю переадресации. Никакие...
Да вообщем то показывать на одной странице или на другой странице " Извините - пошли мимо"
- по мне тоже самое.

Для безопастности достаточно следовать кучке простых правил
кои можно найти в документации на сайте php.net/
А всё остальное, это уже логика и правильное написание не дырявого алгоритма.


-----
Truly yours, Sasha.
 
My status
 Top
strong
Отправлено: 08 Февраля, 2008 - 11:42:53
Post Id



Новичок


Покинул форум
Сообщений всего: 38
Дата рег-ции: Авг. 2007  
Откуда: Украина


Помог: 0 раз(а)




evgenijj пишет:
strong пишет:
С помощью RewriteRule вы поднимете защиту ресурса от взломов, повысите читательность url. Т.е. url этой страницы у меня например http://forum.php.su/post.php?act...ostid=1202387373 , а можно было бы сделать http://forum.php.su/post/replyqu...21/21/1202387373 - это один из способов, самый простой. Т.е. хакер не увидит уже какие переменные использует страница и будет крайне тяжело в каждой странице угадать как например именована переменная! А главное посетители могут уже запомнить сам url и вернуться на него!

По поводу защиты - может быть. Хотя если писать грамотно, не полагаясь на "авось", нужды в этом нет. Слабая типизированность PHP и низкий уровень показа ошибок у хостеров расслабляют программистов. Нет привычки инициализировать переменные, проверять их - как в плане типа переменной, так и ее значения. К сожалению, даже таких известных, как Кузнецов и Симдянов с форума softtime.ru. Их форум, котрый они описывают в своей книге "Практика создания Web-сайтов" - наглядное пособие того, как не надо писать на PHP. При попытке установки их форума с выставленным error_reporting=E_ALL - получается нечто: зрелище не для слабонервных.
По поводу читабельности URL - звучит более, чем сомнительно. Ну кто это запомнит:
...467/254/1202387373
Да никто. Это просто наследие тех времен, когда основу WWW составляли статичные страницы. Почему сейчас это используется? Да потому что осталось еще некоторое количество поисковиков, у которых есть ограничения на количество индексируемых динамических страниц. У лидеров, вроде Google и Yandex уже давно нет таких ограничений. Это мулька аутсайдеров, вроде Aport, место которым - на свалке.



Во многих вещах согласен, но принять во внимание, что это самый грубый пример url. А вот теперь представь что url у нас вроде этого forum.php.su/post.php?%D0%B2%D0%B0%D0%BF%D0%B4%D0%BB%D1%8C%D0%B2%D0%B6%D0%B4%D0%B0%D0%BE%D0%BF%20%D0%BB%D0%BE%D0%B2%D0%B0%D0%BB%D0%B4%D0%BF%D1%82%20%D0%B4%D0%B2%D0%B0%D1%82%D0%BF%20%D1%82%D0%B2%D0%BE%D0%B0%D1%82%D0%BF%20%D0%BE%D1%82%D0%B2%D0%B0%D0%BE%D1%82%D0%BF%20%D0%BE%D0%B2%D1%82%D0%B0%D0%BE%D0%BF%D1%82%20%D0%BE%D0%B2%D1%82%D0%B0%D0%BF%20%D0%BE%D0%B2%D1%82%D0%B0%D0%BE%D1%82%D0%BF%20%D0%B2%D1%82%D0%BE%D0%B0%D1%82%D0%BF%20%D0%BE%D0%B2%D1%82%D0%B0%20%D0%BF%D1%82%D0%BE%D0%BE%D0%B2%20%D1%82%D0%B0%D0%BF

А мы заменим большую часть url и вывидим маленький короткий url. Почему такой вариант не расматривается? Тем более попробуй потом разберись имена каких переменных я использую!?!?! Это уже препятствие!
(Добавление)
valenok пишет:
Цитата:
Если чесно я не намного ушел от Ваших знаний. Я помню еще 2 месяца назад Вы мне давали советы!

Буду рад если через 2 месяца благодаря мне и вы будете давать дельные советы =)

Насчёт читабельности url .. трудно согласится.
По опыту скажу - ни разу не запомнил такого типа url до сих пор.
Если очень нужно было - записывал. А так само собой - не запоминалось.
А две цифры id вместо целой даты и 10сти значного номера я осиливал.



Что такое мод рерайт и с чем его едят я знаю.
Как применить его к решению проблемы тут
я абсолютно не представляю. А как использовать его в других веб приложениях - так это только для сокрытия названий переменных.

Если в крепости замаскировать все ворота, это не значит что ворота будет трудно пробиваемы если их найдут. Это просто значит что ворота трудней найти будет.
Это конечно хорошо, ну нужно ли это я не уверен.
До сих пор я не встретил ни одно хакера который чтото взломал не пложив при этом сервер. Ну взлом домашней страницы Коли Бусова я сюда не отношу ..
А ещё мне кажется что какие post данные отсылаются - ктото сможет подсмотреть..

Цитата:
Еще я использую в работах переадресацию при ошибках страниц

Ага. а потом я бедный должен сидеть и тыркать историю туда обратно.
Честно - я вообще не люблю переадресации. Никакие...
Да вообщем то показывать на одной странице или на другой странице " Извините - пошли мимо"
- по мне тоже самое.

Для безопастности достаточно следовать кучке простых правил
кои можно найти в документации на сайте php.net/
А всё остальное, это уже логика и правильное написание не дырявого алгоритма.



Какая история переадрисация!?!? ВЫ вообще ничего не поняли! Вы почитайте про обработку ошибок через .htaccess В общем расмотрим пример с самой распространенной ошибкой 404 .
Цель: У вас удалена страница например с новостью, человек перешол, а ему ошибка - он ушол с сайта и потом если увидит ссылку на этот же сайт не зайдет. А при обработке он зашел и ему не выводится эта ошибка, а показывается страница которую Вы определили как для ошибки. Я ставлю главную, там больше информации. Т.е. например человек зашел на несуществующюю страницу index2.php , а ее нет, мы поставили на ошибку страницу index.html - она есть. И по url index2.php - будет выводится содержимое страницы index.html. Вроде должно быть понятно!


А пример использования рерайта мы все видили на страницах http://free-lance[dot]ru/ например страница пользователя в настоящее время например такая www[dot]free-lance[dot]ru/users/InsVisions а если бы не использовали рерайт то была бы например такая www[dot]free-lance[dot]ru/index.php?stra[dot][dot][dot]rname=InsVisions . Каждый же посетитель знает свою страницу т.к. используется рерайт, а если бы его не было, то никто бы и не старался бы его запомнить!


-----
http://strety[dot]com/
http://spystamp[dot]net/
http://nigma.ru/m&alen_stoycheva/
 
My status
 Top
valenok
Отправлено: 08 Февраля, 2008 - 12:20:46
Post Id



Здесь могла бы быть ваша реклама


Покинул форум
Сообщений всего: 4574
Дата рег-ции: Июль 2006  
Откуда: Israel


Помог: 3 раз(а)




Извините, а переадресация это пересылка пользователя на другую страницу.
А не показ другой страницы вместо того что он попросил.
От обсуждение бага вы ушли к общей безопастности, сейчас вы ушли от безопастности к страницам ошибок..
Ну и бог с ними.

А вообще я прочитал ваше сообщение как - ага ошибка, значит переадресация.

Цитата:
он ушол с сайта и потом если увидит ссылку на этот же сайт не зайдет

И большой у вас список не посещаемых сайтов?
А если честно, то я не знаю ни одного вебмастера который не использует какие либо страницы ошибок. Просто у некоторых они накрашены, а у некоторых та какую даст хостер.
Извините вы ошиблись адресом, страница не найдена вполне приемлимо на мой взгляд..

(Отредактировано автором: 08 Февраля, 2008 - 12:33:11)



-----
Truly yours, Sasha.
 
My status
 Top
strong
Отправлено: 08 Февраля, 2008 - 12:35:06
Post Id



Новичок


Покинул форум
Сообщений всего: 38
Дата рег-ции: Авг. 2007  
Откуда: Украина


Помог: 0 раз(а)




valenok пишет:
Извините, а переадресация это пересылка пользователя на другую страницу.
А не показ другой страницы вместо того что он попросил.
От обсуждение бага вы ушли к общей безопастности, сейчас вы ушли от безопастности к страницам ошибок..
Ну и бог с ними.

А вообще я прочитал ваше сообщение как - ага ошибка, значит переадресация.

Цитата:
он ушол с сайта и потом если увидит ссылку на этот же сайт не зайдет

И большой у вас список не посещаемых сайтов?
А если честно, то я не знаю ни одного вебмастера который не использует какие либо страницы ошибок. Просто у некоторых они накрашены, а у некоторых та какую даст хостер.
Извините вы ошиблись адресом, страница не найдена вполне приемлимо на мой взгляд..



Давайте с Вами пообщаемся в ICQ (9470022) или Skype(Strong636) ????


-----
http://strety[dot]com/
http://spystamp[dot]net/
http://nigma.ru/m&alen_stoycheva/
 
My status
 Top
Страниц (1): [1]
Сейчас эту тему просматривают: 0 (гостей: 0, зарегистрированных: 0)
« Новости веб-технологий »


Все гости форума могут просматривать этот раздел.
Только зарегистрированные пользователи могут создавать новые темы в этом разделе.
Только зарегистрированные пользователи могут отвечать на сообщения в этом разделе.
 



Powered by PHP  Powered By MySQL  Powered by Nginx  Valid CSS  RSS

 
Powered by ExBB FM 1.0 RC1. InvisionExBB