первые мои начинания были в обычном блокноте виндовса, как и у многих , я думаю

А я думал, что я странный, что начинал в ПХПдизайнера.

=)

необязательно передаваь заголовок и выкини хттп_буилд_куери

а нет.

пардон.. ты через контекст

да это издевательськая херня. насчет заголовка то там вываливается ошибка корса вроде плюс у меня нет курла (лень ставить) поэтому приходится извращаться с стандартным функционалом пхп

=)

ну и еще там инъекция в скуль...

так что я бы не улыбался

да это издевательськая херня. насчет заголовка то там вываливается ошибка корса вроде плюс у меня нет курла (лень ставить) поэтому приходится извращаться с стандартным функционалом пхп

корс не так работает.... пых корс не проверяет

насчёт инклюда файлов, можно ли инклюдить файлы на удаленном сервере, и нужно ли для этого указывать доступ к FTP если да то как?

насчёт инклюда файлов, можно ли инклюдить файлы на удаленном сервере, и нужно ли для этого указывать доступ к FTP если да то как?

низя

но можно обойти

sshfs к примеру тебе в помощь

sshfs к примеру тебе в помощь

пичалька, у меня инклюдированный файл защищен через htacess и к нему надо будет подобраться и как то пройти аунтентификацию

ну или fuse ftp

хтассес вообще никакого отношения к sshfs не имеет

ну я имел в виду, что средствами апача директория запоролена

пичалька, у меня инклюдированный файл защищен через htacess и к нему надо будет подобраться и как то пройти аунтентификацию

Низя... никогда низя грузить скрипты с чужих сайтов

тем более с http

это просто бред

Низя... никогда низя грузить скрипты с чужих сайтов

сайт то мой, и пароли я знаю. у меня просто был случай что мой хостинг взламывали , и удалили все мои труды к чертям а файлик хранил в себе пароли к которым взломщики добрались .

поэтому мне нужно его инклюдировать так, чтобы он не находился на моём сервере

сайт то мой, и пароли я знаю. у меня просто был случай что мой хостинг взламывали , и удалили все мои труды к чертям а файлик хранил в себе пароли к которым взломщики добрались .

те кто взломал наверное подумали что такое прибить будет благом...

поэтому мне нужно его инклюдировать так, чтобы он не находился на моём сервере

может тебе надо научиться писать код, который не ломают?

твой софт должен получать пароли из файла?

запихай эти пароли в мускуль, сделай пользователя риадонли на таблицу

и этим пользователем коннектся к базе чтобы забирать пароли

изи

твой софт должен получать пароли из файла?

мой софт находился в PHP шке которая хранила пароли в переменных , нехитрыми манипуляциями открыли PHPшку и выудили пароли оттуда, поэтому надо как то защититься

коннект к базе проблемы не решит , мою базу ломали уже SQL инъекциями

мало того ещё и затрункейтили всё, хорошо я бэкап сделал

ну вот.. если свой хост взломают и воткнут шелл, то смогут все что может твой сайт.. значит получить пароли

где бы ты их е хранил

шелл кстати воткнули я его нашёл и удалил

правило №1 не доверять никаким данным, которые не ты сам сгенерировал....

пользоваельский ввод нуждается в проверке

полученные из бд данные нуждаются в проверке

правило 2

при рботе с скуль всегда разделяй запос и данные...

полученные из бд данные нуждаются в проверке

обоснуй, зачем . неособо понимаю пример приведи как это может использоваться

Братки почему код не выводит эхо при первом запуске? <?php $value1 = "SSSEEERRRGGGG"; setcookie("SERG", $value1); echo $_COOKIE["SERG"];

prepared statement

потому что куки на клиенте

и пи первом запуске куки на клиенте еще нет

она появляеся после

и пи первом запуске куки на клиенте еще нет

+

обоснуй, зачем . неособо понимаю пример приведи как это может использоваться

освой эти 2 правила, и твой код будет значительно труднее сломать

освой эти 2 правила, и твой код будет значительно труднее сломать

ок, кстати насчёт куков вопрос подняли

можно ли выудить с браузера куки которые относятся к другому домену , не к моему, т.е. чтобы мой сайт получал чужие куки?

xss атака называется

xss атака называется

научи, как это делать

находигшь на сайте жертвы уязвимость, которая позволяет прмениь скрипт, и пишешь туда location.href = ......

лигальным путем не получится

грубо говоря сайт жертва тебе должен сам отдать свою куку

забрать неполучится

грубо говоря сайт жертва тебе должен сам отдать свою куку

короч, у меня есть инфа ,что люди так делают с сайтом потенциальной жертвы , но естессна ошибкой со мной делиться ни кто не собирается.

ну... это может быт какой то пост на форуме, коментарий, в который, скорее всего вставленна ссылка на картинку и js инекцией..

и когда кто то открывает страничку, этот скрипт отдае куку атакующему

обоснуй, зачем . неособо понимаю пример приведи как это может использоваться

пример с твоей инъецией... грубо говоря запрос "SELECT * FROM posts WHRE id = $_GET['id']" - прям открытая дверь с ковриком велкам

Проверки типа isnumeric достаточно?

в $_GET['id'] = может оказаться все что угодно.. начиная от строки, которая вызовет ошибку, заканчивая подзапросом который сольет содержимое бд или убьет твою базу

а у браузеров встроенной защиты от XSS атак нет?

Проверки типа isnumeric достаточно?

нет

а у браузеров встроенной защиты от XSS атак нет?

cors

но полноценно нет

Проверки типа isnumeric достаточно?

http://www.pwntester.com/blog/2014/01/15/hackyou2014-web100-write-up/

Проверки типа isnumeric достаточно?

просветился ?? мир перед глазами пробежал??

ERROR: S client not available

Угу

Это типа в 16ричной системе кодировка?

типа да..

кодруешь запрос в hex

иснумирик пускает его в запрос

Понял

так как хекс - это нумерик

а мускуль послушно из хекса делает строку и выполняет...

делая выстрел себе в голову\

То есть перед проверкой надо попытаться раскодировать?

нет

http://php.net/manual/ru/function.filter-input.php

То есть перед проверкой надо попытаться раскодировать?

начало мозг вставлять на место?

Нет но он начал расти

Скоро из ушей польется

а прикинь.. пишут люди свои сайты.. за деньги под заказ....

типа прогерры

а потом отзываешь в стороночку, показывашь :)))

корс не так работает.... пых корс не проверяет

скрипт дергается с сторонего сайта через аякс

у народа вся жизнь перед глазами пролетает

Да я молодой ещё, джуниор

скрипт дергается с сторонего сайта через аякс

у пхп нет корс

че)

пых !== js

скрипт дергается через js

Да я молодой ещё, джуниор

тебе повезло.. ты вовремя узнал....

куда копать надо

скрипт дергается через js

значет сервер должен правильно ответить

ну он правильно и отвечает

Да я как раз хотел движок свой писать, +с утреца почитал вообще про sql иньекции

Никто не знает тематической беседы по Dev ops