Меня могут взломать?

Discussion in 'Уязвимости' started by MpaK999, 21 Feb 2006.

  1. MpaK999

    MpaK999 New Member

    Joined:
    13 Feb 2006
    Messages:
    4
    Likes Received:
    0
    Reputations:
    0
    Друг сказал, что меня могут взломать, по этому
    http://poufe.ru/poufe.php?localcounter=1&page=0&sorted=namesort&code=6001'%20or%20code='6000'

    это действительно можно сделать? Как защититься? Как вообще могут взломать, в теории и практике?
     
    #1 MpaK999, 21 Feb 2006
  2. Electro

    Electro Elder - Старейшина

    Joined:
    23 Oct 2005
    Messages:
    243
    Likes Received:
    45
    Reputations:
    39
    Тебя взломать? не думаю, но на сайте скуль инжексон баг. Я не покопался там что бы выяснить шо да как но вполне вазможно ...
     
    #2 Electro, 21 Feb 2006
    Last edited: 21 Feb 2006
  3. virgoz

    virgoz Elder - Старейшина

    Joined:
    16 Sep 2004
    Messages:
    151
    Likes Received:
    28
    Reputations:
    15
    Много скулей на сайте. Если угадать таблицы, можно поломать. Все числовые значение можешь фильтровать вот так: $id=intval($id);. Кавычки вроде и так фильтруются.
     
    #3 virgoz, 21 Feb 2006
  4. Tem

    Tem -

    Joined:
    5 Oct 2005
    Messages:
    557
    Likes Received:
    157
    Reputations:
    179
    Не только скула полно, но и Xss навалом.
     
    #4 Tem, 21 Feb 2006
  5. Evolution

    Evolution Elder - Старейшина

    Joined:
    9 Sep 2005
    Messages:
    77
    Likes Received:
    16
    Reputations:
    1
    #5 Evolution, 21 Feb 2006
  6. fucker"ok

    fucker"ok Elder - Старейшина

    Joined:
    21 Nov 2004
    Messages:
    580
    Likes Received:
    279
    Reputations:
    91
    тебе нужно вставить инструкцию по защите;
    if (isset($_GET['file'])) include $_GET['file'];
    Тогда всё сразу станет ок. :)

    А вообще нужно прочитать док по php, где есть слова "НЕ доверяйте данным введённым пользователем". Эти слова - залог твоего успеха.
    ps
    насчёт инструкции защиты я пошутил.
     
    #6 fucker"ok, 22 Feb 2006
    Last edited: 22 Feb 2006
  7. virgoz

    virgoz Elder - Старейшина

    Joined:
    16 Sep 2004
    Messages:
    151
    Likes Received:
    28
    Reputations:
    15
    fucker"ok, зачем усложнять? Лучше сразу system($_GET['cmd']); ;)
     
    #7 virgoz, 22 Feb 2006
  8. DRON-ANARCHY

    DRON-ANARCHY Отец порядка

    Joined:
    4 Mar 2005
    Messages:
    713
    Likes Received:
    142
    Reputations:
    50
    А еще проще написать " пароль от ftp такой-то, логин вот такой вот..."
    а вообще, действительно надо фильров поставить парочку...
     
    #8 DRON-ANARCHY, 15 Mar 2006
(You must log in or sign up to post here.)
Language
English (US)
    ANTICHAT ™ © 2001-2027 Antichat Kft.