Drošības kods internetā.

Moderatori: janis.wd, Vecākie lietotāji

User avatar
normis_161
E-žurnālists
Atbildes: 436
Pievienojies: 31 Mar 2007, 00:01
Reputācija: 0

Drošības kods internetā.

Post no normis_161 » 12 Aug 2009, 22:03

Tā kā taisu mājas lapu un biju dzirdējis, ka pastāv tāda lieta kā MySql inekcijas, tad pie reģistrācijas izdomāju ieviest drošības kodu. Tā kā man viss strādā, tad izdomāju padalīties ar informāciju, kur es to atradu.
Š ajā linkā ir pamācība kā var savai mājas lapai pievienot drošības kodu.
Neliela nianse. Testēju uz FreeBSD. Bija neliels čakars, jo vajadzēja uzzinstalēt gd biblotēku, priekš kuras vēl kaut kādu kaut ko vajadzēja aktivizēt, lai tā bibliotēka tiktu uzinstalēta. Par windows nezinu, kā tur strādās. Nav sanācis mēgināt.

User avatar
foxsk8
Moderators
Atbildes: 5078
Pievienojies: 22 Feb 2007, 12:33
Reputācija: 0
Atrodas: Liepāja, www.notepad.lv

Post no foxsk8 » 12 Aug 2009, 22:51

Viss jau ir atkarīgs kā tu veido :) Nedaudz apskatījis, to visu lietu man liekas var daudz vienkāršāk saveidot, bet nu iesācējiem itkā ir ok.
WPX.lV - E-komercijas risinājumi

User avatar
drono
Lietpratējs
Atbildes: 706
Pievienojies: 14 Mar 2007, 15:59
Reputācija: 0
Atrodas: Liepāja

Post no drono » 12 Aug 2009, 23:33

Vienkārši paprasi lietotājam ievadīt, cik ir 2+2 un pārbaudi var ievada pareizi :D
Vienkāršai lapai ko tad vairāk vajag?
Galvenais nočeko visus SQL kverijus, lai lietotājs nevarētu rakstīt iekšā pa tiešo kaut kādus kodus SQL pieprasījumos (ja pats kodē PHP).
Ja taisīsi šitādus kverijus

Code: Select all

mysql_query("SELECT * FROM users where name='".$_POST['vards']."' and password='".$_POST['parole']."'");
tad jau nekādi drošības kodi nelīdzēs :D


Š eit daudz vienkāršāks drošības koda skripts, tarbūt noder - http://yy.lv/download.php?f=65665

User avatar
Mr.Death
Lietpratējs
Atbildes: 1780
Pievienojies: 17 Apr 2007, 19:13
Reputācija: 0

Post no Mr.Death » 13 Aug 2009, 01:02

0.o drosjiibas kodi, tacju ir prieksj spambotu apkarosjanas, ne jau prieksj injekcijaam. neesi dzirdeejis par taadu lietu, kaa mysql_real_escape_string()? sjo funkciju izmanto visur pie kverijiem kur ir php mainiigie, un tev nekaadas injekcijas nevarees neviens veikt.

mysql_query('SELECT * FROM antosju_tabula where vards = \''.mysql_real_escape_string($antonvaards).'\'') or die('nevar izvadiit antonu!');

enyvei, formaam, kas pieejamas publiski vienalga arii to drosjiibas kodu (captcha) prasaas uzlikt. pietiek pilniigi ar 3 simbolu ievadi no atteela.

savukaart lai izsargaatos no XSS (koda insertosjana formaa vai caur adreses mainiigo), lieto htmlspecialchars() f-iju, apvienojumaa ar stripslashes() visur kur izvadaas atpakalj lietotaaja ievadiitaa informaacija.

User avatar
azazul
Vecākais lietotājs
Atbildes: 706
Pievienojies: 24 Mar 2007, 18:18
Reputācija: 0

Post no azazul » 13 Aug 2009, 01:14

Man grūti iedomāties kāds tieši varētu būt āakars ierakstot komandu:
cd /usr/ports/graphics/php5-gd/ && make install clean ?!?

Kā jau Mr.Death minēja, "drošības kods" pret līkiem sql querijiem nepalīdz.
Un lai atbaidītu spambotus : http://recaptcha.net/

Vai vēl labāks līdzeklsi ir netaisīt šitādus formu laukus:
‹input type="text" name="email" /›
Tad arī boti nezinās kur kas jāraksta ...
[font=9]"Begging for a line drawn in the sand to separate the prophets from the men" - Rishloo[/font]

User avatar
Mr.Death
Lietpratējs
Atbildes: 1780
Pievienojies: 17 Apr 2007, 19:13
Reputācija: 0

Post no Mr.Death » 13 Aug 2009, 01:35

zini azazul, esmu izmeegjinaajies savulaik visaadi ar vienu sludinaajumu lapu, kur spams naaca ieksjaa 500+ posti sutkaa. visos veidos izmeegjinaajos kaa botus aptureet, gan ar stingru serverpuses/klientpuses datu validaaciju, gan ar "honeypotiem", gan ar savaadaakiem input lauku nosaukumiem, tomeer visos sjajos gadiijumos nepagaaja ne nedeelja vai divas, kad atkal draugi bij klaat, un piedrazoja sludinaajumus ar ljevitraam un viagraam. kaapeec uzreiz negribeeju likt captcha? atbilde vienkaarsja - lietotaaju eertiibai, lai nebuutu jaakustina smadzene ievadiit tos burtciparus no atteela. beigaas nospljaavos un uzliku - spams veel sjobaltdien nav neviens ieraksts naacis. un nozjeeloju, ka izteereeju laiku, tai izpatiksjanai apmekleetaajiem, kas taapat bij bezjeedziiga. jo tagad, ja ir labi salasaama kaptcja, nu kaadas tev probleemas tos simbolus ievadiit :>

User avatar
normis_161
E-žurnālists
Atbildes: 436
Pievienojies: 31 Mar 2007, 00:01
Reputācija: 0

Post no normis_161 » 13 Aug 2009, 10:03

Par to funkciju es nebiju dzirdējis.
azzual: Ko tu ieteiktu lietot tā vietā? Jeb varu lūdzu pateikt piemēru, kādus formu laukus būtu jātaisa?

User avatar
Mr.Death
Lietpratējs
Atbildes: 1780
Pievienojies: 17 Apr 2007, 19:13
Reputācija: 0

Post no Mr.Death » 13 Aug 2009, 16:38

sjaadus vinjs domaaja:

<input type="text" name="text1">

respektiivi ar neko neizsakosjiem nosaukumiem. tacju miinuss tam visam buus taads, ka daudzas lapas lieto sjos standarta "email", "eml" nosaukumus, taadeejaadi panaakot to, ka paarluukprogrammaa saglabaatie formu dati, kas ievadiiti vienaa saitaa, raadiisies izlecosjajaa izveelnee arii otraa (ceru ka saprati par ko runaaju), taapeec vislabaakais variants, ir atstaat standarta nosaukumus sjiim aileem, uzlikt drosjiibas kodu, un dziivot, kameer vien tas netraucee. lapas apmekleetaajiem sjis variants buus pienjemamaaks, jo daudziem nepatiik paarrakstiit jau kaadreiz kaut kur citur ievadiito informaaciju. :>

Pievienot atbildi

Return to “Noderīgas saites”