Автор Тема: Способы защиты фермы (Прочитано 3175 раз)

Cosmo13 · « : 01 Мая 2017, 09:47:24 »

Шалом друзья! Хотел бы представить вам видео о некоторых способах защиты скрипта.
Эти способы актуальны для тех кто не перешёл на pdo.

В общем смотрите и строго не судите:

Это не все способы, лишь несколько из возможных!
По возможности буду дополнять тему!

shans5 · « **Ответ #1 :** 01 Мая 2017, 10:30:53 »

Не плохо ....

Добавлено сообщение: 01 Мая 2017, 10:49:58

Если следовать логике,то.....

Есть небольшое уточнение:
а именно...

Если менять подгрузку классов,например:

# Автоподгрузка классов
function __autoload($name){ include("classes/_class.".$name.".php");}

То это нужно делать не только в index.php , а во всех файлах,где это встречается...
В обработчиках платежек ,например : payeer_merchant.php , если есть-inter_merchant.php и так далее.
В некоторых модулях,например Лицензия от Вискаса licmerch.php

В общем пробивайте по поиску. Как-то так.

maks161 · « **Ответ #2 :** 01 Мая 2017, 12:36:19 »

инфа конечно полезная,но для меня ничего нового не увидел. последний способ защита админки от вискаса.
скрипт твой не совсем чистый есть одна дырочка.

shans5 · « **Ответ #3 :** 01 Мая 2017, 12:45:44 »

Макс,без обид..... но я так понимаю ,что видео было сделано не лично для тебя

Лично я сказал спасибо за то что ,что человек делится информацией,и при этом не скрывает своего лица, в отличии от многих пользователей....

А если начать придираться, то я тут про каждого могу понаписать целую книгу...

maks161 · « **Ответ #4 :** 01 Мая 2017, 12:56:53 »

Цитата: admin от 01 Мая 2017, 12:45:44

Макс,без обид..... но я так понимаю ,что видео было сделано не лично для тебя

Лично я сказал спасибо за то что ,что человек делится информацией,и при этом не скрывает своего лица, в отличии от многих пользователей....

А если начать придираться, то я тут про каждого могу понаписать целую книгу...

опять понеслось!
и тем более я ему подсказал что в скрипте есть дырочка.

Cosmo13 · « **Ответ #5 :** 01 Мая 2017, 13:10:54 »

Цитата: maks161 от 01 Мая 2017, 12:56:53

опять понеслось!
и тем более я ему подсказал что в скрипте есть дырочка.

Где конкретно, может чего не заметил?

Добавлено сообщение: 01 Мая 2017, 13:12:14

Цитата: admin от 01 Мая 2017, 10:30:53

Не плохо ....
Добавлено сообщение: 01 Мая 2017, 10:49:58
Если следовать логике,то.....

Есть небольшое уточнение:
а именно...

Если менять подгрузку классов,например:

# Автоподгрузка классов
function __autoload($name){ include("classes/_class.".$name.".php");}

То это нужно делать не только в index.php , а во всех файлах,где это встречается...
В обработчиках платежек ,например : payeer_merchant.php , если есть-inter_merchant.php и так далее.
В некоторых модулях,например Лицензия от Вискаса licmerch.php

В общем пробивайте по поиску. Как-то так.

Спасибо за замечание, в следующий раз буду внимательней!

shans5 · « **Ответ #6 :** 01 Мая 2017, 13:19:07 »

Да блин.... при чем тут понеслось то?

Я просто за то чтоб поддерживать таких людей .....

А если по существу,то могу сказать реальную правду,без обид.....

1) В видео говорится о фильтрации и так далее,но...
нет конкретного урока о том,что и куда вставить
2) Так же говорится о шифровании паролей - аналогично-просто информация без реальных подсказок .
3) В прикрепленном файле так же нет никакой информации
4) Как уже стало известно-скрипт не совсем чистый..
5) неточность по поводу функции _class
Пока думаю этого хватит...

P.S. Не смотря на все это, cosmo13 , не слушай никого,в том числе и меня

Делай,что считаешь нужным. Если что не так -люди поправят.

maks161 · « **Ответ #7 :** 01 Мая 2017, 14:17:28 »

а я разве сказал что против этого?
я написал что инфа полезная и ничего против не писал.
а теперь по поводу дырочки. без обид но такую инфу где она конкретно и как выгледит писать не буду.но она есть.

shans5 · « **Ответ #8 :** 01 Мая 2017, 14:38:24 »

в мерчанте ?

finans13 · « **Ответ #9 :** 01 Мая 2017, 16:24:45 »

Нормальный парень, и хороший видос записал, я даже в подписчики к нему на юьубе записался,,, дырдочка в мерчанте вроде, базе64-декоде если я правильно понял. хотя фиг его знает, мож это зашифровщик какой.

maks161 · « **Ответ #10 :** 01 Мая 2017, 21:07:58 »

Цитата: admin от 01 Мая 2017, 14:38:24

в мерчанте ?

нет.

shans5 · « **Ответ #11 :** 01 Мая 2017, 21:45:53 »

Ну в принципе без разницы....
Стандарт фф сейчас почти не ставит никто,я так думаю

megasatano · « **Ответ #12 :** 09 Мая 2017, 15:15:37 »

Здравый человек, сказал многое от души.

swerg · « **Ответ #13 :** 09 Мая 2017, 15:44:36 »

Человек конечно молодец но не чего нового здесь нет!Во первых админку можно защитить по ип!Во вторых дополнительным паролем при входе-тупо не пустит туда я имею ввиду в адрес админки пока не введеш логин и пароль!Ну и в третьих это будет и нафиг все не нужно если будет нормальная фильтрация всех запросов в базу данных!

Добавлено сообщение: 09 Мая 2017, 15:52:05

Защита форм от SQL-инекций на пальцах

Введение
При разработке, более или менее больших проектов, программистам приходится использовать БД (базу данных). Чем в свою очередь обязательно пытаются воспользоваться разного рода хакеры и взломщики. В связи с этим, все данные, которые получаются из _POST или _GET запросов перед добавлением в БД нужно фильтровать.

Как производится фильтрация?
Фильтрация производится следующим образом:
$text_to_check = mysql_real_escape_string ($_GET["запрос"]);
$text_to_check = strip_tags($text_to_check);
$text_to_check = htmlspecialchars($text_to_check);
$text_to_check = stripslashes($text_to_check);
$text_to_check = addslashes($text_to_check);
$_GET["запрос"] = $text_to_check;
Но тут опять-же остаются вопросы: А если нужно заносить в БД какие-либо специальные символы. Выход есть:
function escape_inj ($text) {
$text = strtolower($text); // Приравниваем текст параметра к нижнему регистру
if (
!strpos($text, "select") && //
!strpos($text, "union") && //
!strpos($text, "select") && //
!strpos($text, "order") && // Ищем вхождение слов в параметре
!strpos($text, "where") && //
!strpos($text, "char") && //
!strpos($text, "from") //
) {
return true; // Вхождений нету - возвращаем true
} else {
return false; // Вхождения есть - возвращаем false
}
}
$section = $_GET[section]; // Читаем параметр
if (!escape_inj ($section)) { // Проверяем параметр
echo "Это SQL-инъекция.";
exit ();
} else {
$result = mysql_query ("SELECT * FROM `tbl_name` WHERE `section` = $section ");
... // Продолжаем работу
}

это все примеры

shans5 · « **Ответ #14 :** 09 Мая 2017, 15:56:22 »

Сейчас опять скажу-многим не понравится....

Лично я не увидел,что человек в видео утверждает ,что открыл что-то новое......

Он делится тем,что знает-БЕСПЛАТНО !!!

К примеру сегодня в стотысячный раз был задан вопрос : как изменить рефереру зачисление с вывода на покупки...
Я например про это знаю,и многие знают.... Уже достали эти вопросы... Поиск есть на форуме....
Но кто-то не знает...
Кому-то это нужно.....

Далее в автошколе урок,мастер объясняет:
Перед выездом нужно проверить тормоза,разную ерунду и так далее....
Народ говорит-мы это знаем,нам это на хрен не надо...
Но пару человек говорят- знаете-молодцы,покурите в сторонке ,а мы вот не знаем и хотим послушать...
Пригодится-хорошо, если не нужно - забудем.

Надеюсь особо никого не обидел.....

eugene.shuq · « **Ответ #15 :** 28 Июня 2017, 02:12:46 »

Цитата: swerg от 09 Мая 2017, 15:44:36

Код: [Выделить]

  $text_to_check = mysql_real_escape_string($_GET["запрос"]);
  $text_to_check = strip_tags($text_to_check);
  $text_to_check = htmlspecialchars($text_to_check);
  $text_to_check = stripslashes($text_to_check);
  $text_to_check = addslashes($text_to_check);   
  $_GET["запрос"] = $text_to_check;
Но тут опять-же остаются вопросы: А если нужно заносить в БД какие-либо специальные символы. Выход есть:
function escape_inj ($text) {
  $text = strtolower($text); // Приравниваем текст параметра к нижнему регистру
  if (
    !strpos($text, "select") && //
    !strpos($text, "union") && //
    !strpos($text, "select") && //
    !strpos($text, "order") && // Ищем вхождение слов в параметре
    !strpos($text, "where") && //
    !strpos($text, "char") && //
    !strpos($text, "from") //
  ) {
    return true; // Вхождений нету - возвращаем true
  } else {
    return false; // Вхождения есть - возвращаем false
  }
}
$section = $_GET[section]; // Читаем параметр
if (!escape_inj ($section)) { // Проверяем параметр
  echo "Это SQL-инъекция.";
  exit ();
} else {
  $result = mysql_query ("SELECT * FROM `tbl_name` WHERE `section` = $section ");
  ... // Продолжаем работу

}

Хотелось бы поинтересоваться у тех, кто шарит) Этот код рабочий и актуальный? Может быть кто может поделиться кодом фильтрации $POST и $GET запросов?

Rich-99000000 · « **Ответ #16 :** 28 Июня 2017, 02:16:51 »

Цитата: eugene.shuq от 28 Июня 2017, 02:12:46

Может быть у кого есть код фильтрации $POST и $GET запросов?

все числовые по intval($_POST["number"]), иные по htmlspecialcharts($_POST["text"]).

eugene.shuq · « **Ответ #17 :** 28 Июня 2017, 02:32:27 »

Я в php только разбираюсь небольшими шажками и не знаю, где и куда это вставлять, я лишь читал о полезности данной фильтрации, чтобы обезопасить свой сайт.
Поэтому я и надеялся увидеть готовый скрипт под стандартную FF.
Но...наверное все равно спасибо и за это, надеюсь эти строки мне помогут и подскажут, что делать далее с помощью гугла и php мануалов, что ли)

APTEMOH · « **Ответ #18 :** 28 Июня 2017, 10:27:18 »

Цитата: rich-99000000 от 28 Июня 2017, 02:16:51

все числовые по intval($_POST["number"])

Хех! А если число с плавающей точкой?
Парни, встроенные фильтры пыха юзайте. Я на них целую ф-ю написал для целого числа и числа с плавающей точкой.

Rich-99000000 · « **Ответ #19 :** 28 Июня 2017, 18:05:07 »

Цитата: APTEMOH от 28 Июня 2017, 10:27:18

Хех! А если число с плавающей точкой?
Парни, встроенные фильтры пыха юзайте. Я на них целую ф-ю написал для целого числа и числа с плавающей точкой.

Ну я ж абстрактно написал)
А так да, для нормального проекта следует функциями фильтровать