За последние 24 часа нас посетили 19333 программиста и 1632 робота. Сейчас ищут 1190 программистов ...

Безопасность советов...

Тема в разделе "php.ru/forum/", создана пользователем EvelRus, 13 фев 2008.

  1. Штаны

    Штаны Guest

    А что в этом гипотетического?? Админ сайта с помощью этого скрипта, установленного на главной странице, собирает статистику посещаемости своего сайта, из которой он по максимуму узнает все о пользователе и его браузере… По мере накопления этой инфы, он ее обрабатывает… Ничего гипотетического в нем нет.
     
  2. Vladson

    Vladson Старожил

    С нами с:
    4 фев 2006
    Сообщения:
    4.040
    Симпатии:
    26
    Адрес:
    Estonia, Tallinn
    Статистику сайта так никто не собирает (точнее только те у кого посещаемость 10 хитов в стутки)

    Я собираю статистику сайта и мне нужны далеко не все заголовки (а только те что говорят о пользователе, в том числе и генерируемые JS в качестве доп-информации), и я их даже в базу не пишу (у меня нет своего личного сервака, по этому пишу в файл и закачиваю статистику себе на комп где уже её заношу в базу и обрабатываю)
     
  3. Штаны

    Штаны Guest

    Ты просил скрипт на все заголовки? Вот и получил. Этому скрипту пофик на суть данных, но он завалит сайт переполнением. Поэтому фильтрация данных нужнa и до их ввода в базу данных.

    А статистику сайта лучше вести по всем заголовкам, мало ли какие потом в голову идеи придут, чтобы увидеть, как это отразится на пользователях.
     
  4. EvelRus

    EvelRus Активный пользователь

    С нами с:
    16 ноя 2006
    Сообщения:
    2.168
    Симпатии:
    0
    Адрес:
    Москва
    опять ушли от темы :(
     
  5. Vladson

    Vladson Старожил

    С нами с:
    4 фев 2006
    Сообщения:
    4.040
    Симпатии:
    26
    Адрес:
    Estonia, Tallinn
    Этому (гипотетическому)скрипту нужна, реальному нет !!!

    Не по всем а по двум типам "те которые не подделать" и "те которые можно подделать, но которые принесут пользу если их не подделали"
     
  6. [vs]

    [vs] Суперстар
    Команда форума Модератор

    С нами с:
    27 сен 2007
    Сообщения:
    10.557
    Симпатии:
    631
    Фильтровать данные надо!
    Например для запрета использования html-тегов в сообщениях, чем юзать htmlspecialchars имеет больший смысл использовать striptags, хотя-бы ради экономии места в БД. Это как раз фильтрация!
     
  7. Anonymous

    Anonymous Guest

    [vs], привожу реальный пример: раньше, вордпресс так и делал. Тупо вырезал теги. В резаультате, запостить КОД! в блоге было невозможно в принципе. Попытки сделать "заплатки" типа допущения некоторых тегов, ит.п. привели лишь к XSS и прочей лабудени.
    Ничего не надо фильтровать, обрезать, необдуманно.
     
  8. Vladson

    Vladson Старожил

    С нами с:
    4 фев 2006
    Сообщения:
    4.040
    Симпатии:
    26
    Адрес:
    Estonia, Tallinn
    Гы, ты не прочитал топик... (а если я хочу запостить именно HTML но в текстовом виде ?)

    Я постоянно с таким сталкиваюсь аж бесит (на cssing.org.ua постоянно пишу "каменты" и постоянно не могу выразить мысль так как 99% смысла фильтруется)

    к безопасности какое это отношение имеет ?
     
  9. Kreker

    Kreker Старожил

    С нами с:
    8 апр 2007
    Сообщения:
    5.433
    Симпатии:
    0
    Вот только на днях до меня доперло, что ты 100% прав. А доперло вот по чему:
    Человек добавил название песни в базу "Black & White", а функция htmlspecialchars преобразовала её в "Black & White". В результате чего в тексте пеня выводится, но ссылка не ведет на описание песни, потому что по запросу "Black & White" в базе ничего нет.
     
  10. Vladson

    Vladson Старожил

    С нами с:
    4 фев 2006
    Сообщения:
    4.040
    Симпатии:
    26
    Адрес:
    Estonia, Tallinn
    Я всегда прав (когда трезвый) но увы не все это понимают вовремя, а многие не слушают меня и совершают ошибки...
     
  11. Mr.M.I.T.

    Mr.M.I.T. Старожил

    С нами с:
    28 янв 2008
    Сообщения:
    4.586
    Симпатии:
    1
    Адрес:
    у тебя канфетка?
    Советую всем почитать КМБ (курс молодого бойца) на inattack.ru =) правдо инаттак сейчас в отключке, двиг меняют...
     
  12. Johnatan

    Johnatan Активный пользователь

    С нами с:
    6 мар 2008
    Сообщения:
    508
    Симпатии:
    0
    Адрес:
    Испания
    Ну ты млин посоветовал.. :))))))) Посоветовал бы когда двиг сменили, чтоль...
     
  13. Hight

    Hight Старожил
    Команда форума Модератор

    С нами с:
    5 мар 2006
    Сообщения:
    7.153
    Симпатии:
    0
    Адрес:
    из злой параллельной вселенной
    Перестаньте советовать денвер =)
     
  14. Mr.M.I.T.

    Mr.M.I.T. Старожил

    С нами с:
    28 янв 2008
    Сообщения:
    4.586
    Симпатии:
    1
    Адрес:
    у тебя канфетка?
    Да да денвер мастдай!
    Зы. А я юзаю денвер =))
     
  15. Vladson

    Vladson Старожил

    С нами с:
    4 фев 2006
    Сообщения:
    4.040
    Симпатии:
    26
    Адрес:
    Estonia, Tallinn
    А я юзаю Celeron-466 c FreeBSD :D