Nawigacja

Aktualnie online

Gości online: 7

Użytkowników online: 0

Łącznie użytkowników: 25,405
Najnowszy użytkownik: kipolas

Logowanie

Zarejestruj się

Odzyskaj hasło

Shoutbox

Musisz zalogować się, aby móc dodać wiadomość.

Zbigniew@

18.10.2025 19:31:20

Forum nie dziala nawet bez polskich znakow.

JazOOn

16.10.2025 18:21:12

nie dziala z polskimi znakami

Zbigniew@

12.10.2025 15:20:31

Tylko dla wybranych.

JazOOn

06.10.2025 21:00:15

czy shout dziala?

hoopak

02.10.2025 10:33:17

Bleeeeee

Archiwum shoutboksa

O nie! Ta strona potrzebuje włączonej obsługi języka JavaScript!

Twoja przeglądarka nie obsługuje tego języka lub ma wyłączoną jego obsługę. Włącz wykonywanie kodu JavaScript w swojej przeglądarce internetowej, aby skorzystać ze wszystkich funkcji strony
lub skorzystaj z programu obsługującego język JavaScript, np. Mozilla Firefox, Apple Safari, Opera, Google Chrome lub Windows Internet Explorer w wersji wyższej niż 6.

Zobacz temat

Polski Oficjalny Support PHP-Fusion » Podstawowe zagadnienia zwi?zane z PHP-Fusion » Przedszkole

Zabezpieczenie przed wydobyciem hasla sql
veto	#1 Dodany dnia 24.04.2008 14:18:15
Przedszkolak Postów: 60 Pomógł: 2 Ostrzeżeń: 1 Data rejestracji: 24.07.2007 17:36	Witam. Mam taki problem, poniewaz nie chce ?eby inny admin, b?d? kto? b?d?cy na moim koncie mog? dzi?ki stronom informacyjnym wydobyc passa do mysql. Podaje kod ktory pozwala po wklejeniu do stron informacyjnych wyswietlic dane mysql + haslo w ?rodle strony. I pytanie jak temu zapobiec? : Rozwiń Kod źródłowy `<table width="90%" cellspacing="0" cellpadding="3" border="0"><td><b>Kod:</b></td><tr><td class="code"><div style="overflow: auto; width: 100%"><?php readfile('config.php'); ?></div></td></tr></table>` PW od moderatora: Przeniesienie tematu - bartek124 24.04 - 15:03 Edytowane przez Pieka dnia 24.04.2008 18:14:07


W?cibski Go??	Dodany dnia 27.10.2025 00:45:14
Pan Kontekstualny Postów: n^x Data rejestracji: Zawsze
IP: localhost

bartek124	#2 Dodany dnia 24.04.2008 15:02:28
Weteran Postów: 3264 Pomógł: 236 v7.02.06 Data rejestracji: 26.05.2007 12:25	Najpro?ciej b?dzie nie podawa? has?a do swojego profilu. Nie pomagam na komunikatorach oraz PW!


veto	#3 Dodany dnia 24.04.2008 15:07:42
Przedszkolak Postów: 60 Pomógł: 2 Ostrzeżeń: 1 Data rejestracji: 24.07.2007 17:36	Nie daje nikomu, tylko s? tacy ktorzy potrafi? si? dobra? do mojego konta.. No cms chyab jest dzurawy i b??d jest chyba w editprofile.php - chyba mozna atak xss przeprowadzic. W kazdym razie chce si? zabezpieczyc przed wydobyciem passa do mysql z poziomu konta admina jak podalem wyzej.


ICEK	#4 Dodany dnia 24.04.2008 15:09:18
Bywalec Postów: 658 Pomógł: 27 Data rejestracji: 22.09.2007 08:29	Gdyby cms by? dziurawy na pewno ju? dawno by?oby to zg?oszone www.modlinski.net


bartek124	#5 Dodany dnia 24.04.2008 15:13:36
Weteran Postów: 3264 Pomógł: 236 v7.02.06 Data rejestracji: 26.05.2007 12:25	Pewnie, jak sie nie aktualizuje od ilu? tam wersji... Najnowsze paczki s? bezpieczne, nie da si? ich zhaczy?. To Administratorzy otwieraj? tyln? furtk? hakerom swoj? bezmy?lno?ci?. Ju? o tym pisa?em, nie b?d? si? powtarza?. Poza tym has?o jest hashowane przez md5();, przy wzgl?dnej kombinacji znaków w ha?le nie da si? go rozszyfrowa?. Owszem, s? s?owniki maj?ce s?owo i md5 do nich, dzi?ki czemu da si? proste s?owa rozszyfrowa?. Z?ó? has?o z liter+cyfr i jeste? bezpieczny. Nie pomagam na komunikatorach oraz PW!


veto	#6 Dodany dnia 24.04.2008 15:16:27
Przedszkolak Postów: 60 Pomógł: 2 Ostrzeżeń: 1 Data rejestracji: 24.07.2007 17:36	Krótko przedstawi? moj? sytuacje: haslo mialem typu: jht72364jh21as7q4 Wiem co to znaczy rozwali? hash md5... A poza tym nie ma rzeczy idealnych. Z jakiej niby racji mialby si? kto? chwali?, ?e zna luk? skoro moze j? miec dla siebie i wykorzystywac. By? mo?e si? mysle bo to wina serwera, lub ja co? nawali?em i gdzie? jakie? dane nie s? filtrowane bo si? ostatnio du?o bawilem lub po prostu dlatego ze to EF...


MeTeo	#7 Dodany dnia 24.04.2008 16:04:02
Bywalec Postów: 880 Pomógł: 23 Ostrzeżeń: 2 Data rejestracji: 14.12.2005 19:38	Jaki jest sens twoje posta? Przedstawi? Ci na przyk?adzie o co pytasz: "Jak mog? zapobiec kradzie?y z mojego domu gdy da?em kluczyki z?odziejowi?" Samo administrowanie w sensie istnienia ma na celu udost?pnienie wszystkich informacji. Nikt normalny nie udost?pnia swojego konta. veto - Racja, tylko profil nie by? ?atany ju? jaki? czas a PF ma "zaplecze" du?e i gdyby to by?o tak banalne wyci?gni?cia has?a admina, to by ju? tego nie by?o. Nie ma rzeczy idealnych ale nie przesadzajmy z wyci?ganiem has?a... Ja Ci mog? poda? moje has?o zahashowane... Nic Ci to nie da. Bo swoje has?o koduj? jeszcze r?cznie na klawiaturze... Nie dasz "kluczyków" - nikt si? nie w?amie...


veto	#8 Dodany dnia 24.04.2008 17:03:31
Przedszkolak Postów: 60 Pomógł: 2 Ostrzeżeń: 1 Data rejestracji: 24.07.2007 17:36	Nie dasz "kluczyków" - nikt si? nie w?amie... Nie dawa?em "kluczyków" - mialem 2 w?amy.


bartek124	#9 Dodany dnia 24.04.2008 17:11:19
Weteran Postów: 3264 Pomógł: 236 v7.02.06 Data rejestracji: 26.05.2007 12:25	Heh... Sam pomog?e? chakierom w w?amach . Tysi?ce stron w PHP-Fusion, cho?by same Supporty - czy kiedy? kto? si? na nie w?ama?? Wystarczy mie? g?ow? na karku i zna? podstawy bezpiecze?stwa, ju? zmniejszasz prawdopodobie?stwo w?amu. Edytowane przez bartek124 dnia 24.04.2008 18:05:32 Nie pomagam na komunikatorach oraz PW!


MeTeo	#10 Dodany dnia 24.04.2008 17:38:58
Bywalec Postów: 880 Pomógł: 23 Ostrzeżeń: 2 Data rejestracji: 14.12.2005 19:38	bartek124 - (Charyzjuszowi) Chakierowi jak co? ;P Co do tematu: Najwidoczniej twoje "kluczyki" by?y bardzo pospolite lub nie aktualizowa?e? fusiona... Z reszt?, nie sam PF musi by? podatny na xss a wtyczki... Swego czasu by?o odnalezionych sporo wtyczek z b??dami... Sorry, mój b??d //bartek124 Edytowane przez bartek124 dnia 24.04.2008 17:46:29

Przejdź do forum:

Twój link u nas!

Nawigacja

G?ówne menu

Komunikacja

Elementarz

Dokumentacja

Aktualnie online

Logowanie

Shoutbox

Zobacz temat