aykutgunes
Участник
- Сообщения
- 12
- Реакции
- 3
Да, способов много, и на каждую защиту да найдется обход, но все же возникает вопрос.
Как защитить свой проект от взлома? SQL иньекций и XSS атак? Видел, что некоторые встраивают свой код и выводят весь деп, как это избежать?
Как заполнить robots.txt и .htaccess чтобы обезопасить себя хотя бы от школохакеров?
Как защитить свой проект от взлома? SQL иньекций и XSS атак? Видел, что некоторые встраивают свой код и выводят весь деп, как это избежать?
Как заполнить robots.txt и .htaccess чтобы обезопасить себя хотя бы от школохакеров?
Поставь на админку,пин-код и используй в файле логин пароль через админку,а фильтрацию поставь на пополнение и вывод,что б не накрутили,поставь привязку кошелька,или же поставь платёжный пароль который высылается на почтуaykutgunes написал(а):Да, способов много, и на каждую защиту да найдется обход, но все же возникает вопрос.
Как защитить свой проект от взлома? SQL иньекций и XSS атак? Видел, что некоторые встраивают свой код и выводят весь деп, как это избежать?
Как заполнить robots.txt и .htaccess чтобы обезопасить себя хотя бы от школохакеров?
aykutgunes
Участник
- Сообщения
- 12
- Реакции
- 3
Как реализовать фильтрацию?CRAFTGAMING написал(а):Поставь на админку,пин-код и используй в файле логин пароль через админку,а фильтрацию поставь на пополнение и вывод,что б не накрутили,поставь привязку кошелька,или же поставь платёжный пароль который высылается на почту
Я щас не за компом я бы скинул бы пост,да и plugin выкладывал насчёт фильтрации как правильно сделатьaykutgunes написал(а):Как реализовать фильтрацию?
pligin
Участник
- Сообщения
- 3.654
- Реакции
- 1.336
хватит обзываться!!!CRAFTGAMING написал(а):plugin
aykutgunes
Участник
- Сообщения
- 12
- Реакции
- 3
Что в роботс и хттакцес прописывать?pligin написал(а):хватит обзываться!!!
вот этот файл security.php безопасен? Это действительно защита?
PHP:
<?php // защита от GoodScript.ru
function check_text($text) {
$arraysql = array('UNION','SELECT','OUTFILE','LOAD_FILE','GROUP BY','ORDER BY','INFORMATION_SCHEMA.TABLES','BENCHMARK','FLOOR','SLEEP','CHAR');
$replacesql ='';
$text2=$text;
$text2=mb_strtoupper($text2);
$text2=str_replace($arraysql, $replacesql, $text2,$count);
if($count!=0){ echo "Ошибка, повторите ввод. "; exit;}
$array_find = array("'",'"','/**/','0x','/*','--');
$array_replace ='';
$text=str_replace($array_find, $array_replace, $text);
return $text;
}
foreach($_GET as $i => $value){ $_GET[$i]=check_text($_GET[$i]);}
foreach($_POST as $i => $value){ $_POST[$i]=check_text($_POST[$i]);}
foreach($_COOKIE as $i => $value){ $_COOKIE[$i]=check_text($_COOKIE[$i]);}
?>
Сорян с ошибкой написал с просоняpligin написал(а):хватит обзываться!!!
jameson
Участник
- Сообщения
- 612
- Реакции
- 359
pligin
Участник
- Сообщения
- 3.654
- Реакции
- 1.336
так написано с нуля уже.... но не все еще перепроверено... желающих вообще нет затестить скриптjameson написал(а):Все фермы уязвимы, как защитить проект на движке фф? Да никак - я спасался смс подтверждениями например, но сами дыры движка это не закрывало, там уязвимостей 100500+ тут нужно либо с нуля его писать, но кому это надо, либо костыли ставить...
iPSWeb/fruit-farm
Фруктовая ферма. Contribute to iPSWeb/fruit-farm development by creating an account on GitHub.
github.com
jameson
Участник
- Сообщения
- 612
- Реакции
- 359
БлядЪ я про другое структура скрипта известна и все знают куда какой запрос засылать мы это с тобой IRL обсуждали.pligin написал(а):так написано с нуля уже.... но не все еще перепроверено... желающих вообще нет затестить скрипт
iPSWeb/fruit-farm
Фруктовая ферма. Contribute to iPSWeb/fruit-farm development by creating an account on GitHub.github.com
aykutgunes
Участник
- Сообщения
- 12
- Реакции
- 3
pligin написал(а):так написано с нуля уже.... но не все еще перепроверено... желающих вообще нет затестить скрипт
iPSWeb/fruit-farm
Фруктовая ферма. Contribute to iPSWeb/fruit-farm development by creating an account on GitHub.github.com
А по поводу файла security.php что? ЧТо за зверь? стоит его оставлять или нет?jameson написал(а):БлядЪ я про другое структура скрипта известна и все знают куда какой запрос засылать мы это с тобой IRL обсуждали.
jameson
Участник
- Сообщения
- 612
- Реакции
- 359
все зависит от того что этот файл содержитaykutgunes написал(а):А по поводу файла security.php что? ЧТо за зверь? стоит его оставлять или нет?
pligin
Участник
- Сообщения
- 3.654
- Реакции
- 1.336
нах он нужен, если все входящие данные фильтровать?!aykutgunes написал(а):А по поводу файла security.php что? ЧТо за зверь? стоит его оставлять или нет?
aykutgunes
Участник
- Сообщения
- 12
- Реакции
- 3
Я не знаю есть ли у меня фильтрация)pligin написал(а):нах он нужен, если все входящие данные фильтровать?!
Вот код:jameson написал(а):все зависит от того что этот файл содержит
PHP:
<?php // защита от GoodScript.ru
function check_text($text) {
$arraysql = array('UNION','SELECT','OUTFILE','LOAD_FILE','GROUP BY','ORDER BY','INFORMATION_SCHEMA.TABLES','BENCHMARK','FLOOR','SLEEP','CHAR');
$replacesql ='';
$text2=$text;
$text2=mb_strtoupper($text2);
$text2=str_replace($arraysql, $replacesql, $text2,$count);
if($count!=0){ echo "Ошибка, повторите ввод. "; exit;}
$array_find = array("'",'"','/**/','0x','/*','--');
$array_replace ='';
$text=str_replace($array_find, $array_replace, $text);
return $text;
}
foreach($_GET as $i => $value){ $_GET[$i]=check_text($_GET[$i]);}
foreach($_POST as $i => $value){ $_POST[$i]=check_text($_POST[$i]);}
foreach($_COOKIE as $i => $value){ $_COOKIE[$i]=check_text($_COOKIE[$i]);}
?>
Я щас тестирую,и делаю на нём потом отпишу по коду вообще всё чёткоpligin написал(а):так написано с нуля уже.... но не все еще перепроверено... желающих вообще нет затестить скрипт
iPSWeb/fruit-farm
Фруктовая ферма. Contribute to iPSWeb/fruit-farm development by creating an account on GitHub.github.com
pligin
Участник
- Сообщения
- 3.654
- Реакции
- 1.336
В своем скрипте ты можешь много раз увидеть intval($_POST['sum'])aykutgunes написал(а):Я не знаю есть ли у меня фильтрация)
Вот код:
PHP:<?php // защита от GoodScript.ru function check_text($text) { $arraysql = array('UNION','SELECT','OUTFILE','LOAD_FILE','GROUP BY','ORDER BY','INFORMATION_SCHEMA.TABLES','BENCHMARK','FLOOR','SLEEP','CHAR'); $replacesql =''; $text2=$text; $text2=mb_strtoupper($text2); $text2=str_replace($arraysql, $replacesql, $text2,$count); if($count!=0){ echo "Ошибка, повторите ввод. "; exit;} $array_find = array("'",'"','/**/','0x','/*','--'); $array_replace =''; $text=str_replace($array_find, $array_replace, $text); return $text; } foreach($_GET as $i => $value){ $_GET[$i]=check_text($_GET[$i]);} foreach($_POST as $i => $value){ $_POST[$i]=check_text($_POST[$i]);} foreach($_COOKIE as $i => $value){ $_COOKIE[$i]=check_text($_COOKIE[$i]);} ?>
intval() - Возвращает целое значение переменной
Но intval() - это конечный результат непроверенных входящих данных.
Поэтому требуется проверять не intval(), а фильтрами PHP
точный пример:
PHP:
$sum = filter_var($_POST['sum'],FILTER_VALIDATE_INT);
if($sum !== false){
//все пучком
}else{
//какая-то хрень
}
НО, если ввести число "-1000", то оно пройдет все эти проверки, т.к. оно является целым числом... А нам-то нужно целое положительное число. И вот тут должен работать мозг программиста и отсечь эту возможность... Самый простой вариант - это модуль числа, т.е. abs().
Пример:
PHP:
<?php
echo abs(-4.2); // 4.2 (double/float)
echo abs(5); // 5 (integer)
echo abs(-5); // 5 (integer)
Подробнее о фильтрах валидации данных ТУТ
Подробнее об очищающих фильтрах данных ТУТ
testuser
Местный
- Сообщения
- 49
- Реакции
- 12
В мониторинге?testuser написал(а):Я ПРОСТО МОНИТОРЮ ВВОД ВЫВОД пускай взламывают все равно ничего не получат )))