![]() |
Модераторы: skyboy, MoLeX, Aliance, ksnk |
![]() ![]() ![]() |
|
СЭНСЭЙ |
|
|||
Опытный ![]() ![]() Профиль Группа: Участник Сообщений: 432 Регистрация: 20.3.2006 Репутация: нет Всего: нет |
Всем привет.
Написал такой сайт setin.ho.ua Никакие фреймфорки не использовал. Все писал вручную. Хочу протестировать его на "дырявость". Помогите пожалуйста найти дырки. |
|||
|
||||
Sanchezzz |
|
|||
![]() Эксперт ![]() ![]() ![]() Профиль Группа: Завсегдатай Сообщений: 1670 Регистрация: 19.11.2006 Где: Voronezh Репутация: 41 Всего: 60 |
Дырки есть, исправляйте пока не появилось соблазм..
![]() Это сообщение отредактировал(а) Sanchezzz - 31.8.2013, 15:25 -------------------- Понравился ответ "+" по репе, не забываем закрывать тему, заказы в LS. |
|||
|
||||
СЭНСЭЙ |
|
|||
Опытный ![]() ![]() Профиль Группа: Участник Сообщений: 432 Регистрация: 20.3.2006 Репутация: нет Всего: нет |
Расскажите про дырки. Сайт все равно на временном хостинге.
|
|||
|
||||
ksnk |
|
|||
![]() прохожий ![]() ![]() ![]() ![]() Профиль Группа: Комодератор Сообщений: 6855 Регистрация: 13.4.2007 Где: СПб Репутация: 96 Всего: 386 |
Таблица goods удалилась?
-------------------- Человеку свойственно ошибаться, программисту свойственно ошибаться профессионально ! ![]() |
|||
|
||||
Sanchezzz |
|
|||
![]() Эксперт ![]() ![]() ![]() Профиль Группа: Завсегдатай Сообщений: 1670 Регистрация: 19.11.2006 Где: Voronezh Репутация: 41 Всего: 60 |
Дырки в запросах.
Мне не понятно зачем числовой ID искать через like? ![]() Прочитайте на досуге о prepared statement в PDO или MYSQli от Sql-injection Про xss тоже Информация не закрытая и легко гуглится. Это сообщение отредактировал(а) Sanchezzz - 8.12.2013, 20:29 -------------------- Понравился ответ "+" по репе, не забываем закрывать тему, заказы в LS. |
|||
|
||||
СЭНСЭЙ |
|
|||
Опытный ![]() ![]() Профиль Группа: Участник Сообщений: 432 Регистрация: 20.3.2006 Репутация: нет Всего: нет |
Таблица goods не удалилась. Я не помню какие там были товары. Кажется их стало меньше но не уверен.
Через like подставлять ID - старая привычка. Что бы можно было подставить % Я знаю про инъекции, но у меня лично не получилось их применить. ПХП не пропускает больше одного запроса к базе за один раз. с xss тоже ничего не получилось. statement в PDO вообще не понял как можно применить. |
|||
|
||||
ksnk |
|
|||
![]() прохожий ![]() ![]() ![]() ![]() Профиль Группа: Комодератор Сообщений: 6855 Регистрация: 13.4.2007 Где: СПб Репутация: 96 Всего: 386 |
Там ошибки валятся, сейчас все дорабатывается, или доломалось? Может сначада исследовать как и каким образом товары "пропали"? Дамп базы есть? Сравнить и проверить разрушения. Лог доступа (access.log) к сайту есть? Посмотреть и проверить странные GET'ы -------------------- Человеку свойственно ошибаться, программисту свойственно ошибаться профессионально ! ![]() |
|||
|
||||
СЭНСЭЙ |
|
|||
Опытный ![]() ![]() Профиль Группа: Участник Сообщений: 432 Регистрация: 20.3.2006 Репутация: нет Всего: нет |
Я ошибок не заметил. Основная часть работает как и задумано.
файл access.log не ведется Товары не удалились. |
|||
|
||||
СЭНСЭЙ |
|
|||
Опытный ![]() ![]() Профиль Группа: Участник Сообщений: 432 Регистрация: 20.3.2006 Репутация: нет Всего: нет |
включил access.log на хостинге
|
|||
|
||||
AldarKose |
|
|||
Новичок Профиль Группа: Участник Сообщений: 4 Регистрация: 2.9.2013 Репутация: нет Всего: нет |
Аффтар, орфографию проверь. Чего только стоят "Поднятся", "Вещ", "Какая то"...
|
|||
|
||||
TPETb |
|
|||
Новичок Профиль Группа: Участник Сообщений: 7 Регистрация: 5.8.2011 Репутация: нет Всего: нет |
я конечно понимаю, что тема была "проверьте на уязвимости", но не могу не заметить
1. вам первый же SEO-шник скажет "иди в **** с твоим сайтом" потому что: 1.1. статичный title 1.2. отсутствуют ЧПУ 1.3. битые ссылки никак не обрабатываются 2. контент менеджер скажет "иди в **** со своим сайтом" потому что скорее всего нормального интерфейса для управления содержимым у вас нет (но тут не буду утверждать, может у вас реально админка есть где-то спрятана) 3. заказчик вам скажет "иди в **** со своим сайтом" потому что предыдущие два человека уже это сказали (если только вы сами не являетесь заказчиком) я бы еще мог рассказать что скажет посетитель, но, думаю, лейт-мотив вы уловили. это все к чему сказано. ни в коем случае не для того чтобы вас оскорбить, но вы просто потеряли время на изобретение велосипеда с квадратными колесами из ваты, хотя могли бы для начала изучить матчасть. пожалуйста, больше так не делайте. возьмите PrestaShop если вам хочется посмотреть как должны работать магазины, возьмите Wolf CMS если хотите посмотреть, как должен работать сайт как сущность. обе системы достаточно просты для понимания. даже не написав ни единой строчки кода, но почитав чужой хороший код, вы получите куда больше, чем если просто будете писать лишь бы писать. |
|||
|
||||
СЭНСЭЙ |
|
|||
Опытный ![]() ![]() Профиль Группа: Участник Сообщений: 432 Регистрация: 20.3.2006 Репутация: нет Всего: нет |
Спасибо. Это был мой ПЕРВЫЙ функциональный сайт на пхп. ПЕРВЫЙ. И заказчик им до сих пор пользуется. Да есть недостатки, но свои функции он выполняет.
И что не маловажно размер кода сайта в десятки/сотни раз меньше чем у раскрученных бесплатных движков и ЦМС. Это же косается и времени отрабатывания кода на сервере. Благодаря работе над этим сайтом я быстро освоил пхп. И сейчас работаю на крупную компанию. Как вы правильно заметили я поднял тему мифов об уязвимости сайтов, а не проверки орфографии и СЕО. Да на сайте есть админка, было бы странно если бы у динамического сайта ее небыло. Надеюсь вам стало легче после того как вы высказались не по теме. |
|||
|
||||
Sanchezzz |
|
|||
![]() Эксперт ![]() ![]() ![]() Профиль Группа: Завсегдатай Сообщений: 1670 Регистрация: 19.11.2006 Где: Voronezh Репутация: 41 Всего: 60 |
СЭНСЭЙ, Поздравляю так держать.
-------------------- Понравился ответ "+" по репе, не забываем закрывать тему, заказы в LS. |
|||
|
||||
![]() ![]() ![]() |
Правила форума "PHP" | |
|
Новичкам:
Важно:
Внимание:
Если Вам понравилась атмосфера форума, заходите к нам чаще! С уважением, IZ@TOP, skyboy, SamDark, MoLeX, awers. |
0 Пользователей читают эту тему (0 Гостей и 0 Скрытых Пользователей) | |
0 Пользователей: | |
« Предыдущая тема | PHP: Общие вопросы | Следующая тема » |
|
По вопросам размещения рекламы пишите на vladimir(sobaka)vingrad.ru
Отказ от ответственности Powered by Invision Power Board(R) 1.3 © 2003 IPS, Inc. |