Jump to content
php.lv forumi

Pieredze ar PHP lielu/mazu darbinu veiksanai


ron

Recommended Posts

Viennozīmīgi, ja ir iespējams code injection, tad kļūda ir pietiekami liela, lai demonstrētu publiskai apskatei! :) Lai gan code injection ir iespējams ļoti daudzās sistēmās Latvijā, manuprāt.

No otras puses - tā ir administrācijas vide un tāpat paredzēta būtībā ļoti ierobežotai piekļuvei. Protams, ir jāaizsargā piekļuve tai spēcīgi, tad paliek galvenā rūpe - aizsargāt lapas publisko pieejamo daļu, lai nav iespējamas nekādas injekcijas.

Reāli tas uzdevums nav no vieglajiem - testēt pret hakošanu un parasti jau nav nevienam laika to darīt, ja vien par to nav paredzēta atsevišķa samaksa...

Pie tam - es uzskatu, ka mazam biznesam tomēr nevajag baidīties no hakeru uzbrukumiem, kamēr vien kādam pāri nenodara. Diemžēl cilvēki mēdz būt arī ieriebēji un elementārie drošības pasākumi gan no serveru konfigurācijas, gan programmēšanas puses vienmēr ir jāveic, pat ja lapā nav tādu datu, kas būtu īpaši jāaizsargā! Jebkurā gadījumā ir jādomā par rezervu kopijām, pat ja uzbrukums tomēr notiek...

Link to comment
Share on other sites

Par aizsardzību no injekcijām varu ieteikt viselementārāko lietu no php puses - nu nekad kodā nelietot variabļu pa taisno no $_GET, $_POST vai $_REQUEST. Visi šie input variabļi ir jāpārbauda - viņiem jāiziet cauri kādai validācijas funkcijai jau pašā sākumā. Caur GET un POST padot nepareizus parametrus ir vieglākais injekcēšanas veids.

Link to comment
Share on other sites

Tas, Robi, attiecas ne tikai uz aizsardzībām pret injekcijām, bet arī pret aizsardzībāi jebkādām lietotāja netīši/tīši ievadītajām/pieļautajām kļūdām, lai nesabojātu datu integritāti.

 

Nedrīkst lietot pa tiešo no lietotāja saņemtus datus. Pofig vai GET, vai POST, vai no uploadota faila nolasīts strings. Lietotāja ievadītie dati ir vienmēr un rūpīgi jāvalidē. Ne tikai ar klasisko kādu escape_string fju, bet arī visi citi gadījumi - ja tiek gaidīs skaitlis, tad neko citu neatļaut, ja ir gaidāma vērtība no noteiktas kopas (piemēram, primārās atslēgas vērtība), tad pārbaudīt uz tādas eksistenci, utt.. Un tas attiecas ne tikai uz web'iskām aplikācijām, bet arī uz jebkādām citām - gan GUI'skām desktopa aplikācijām, gan komandrindas tūļiem.

Link to comment
Share on other sites

Nu teikšu uzreiz. Man tas CMS nepatīk. Kaut kas ar dizainu nav tā kā vajag. Pati mājas lapa ir okey, bet CMS dizains nevisai.

 

TB cik nopratu CMS tirgojās 249 Ls?

 

Tad labāk, tiek kuriem vajag, piedāvāju savu variantu, pagaidām vēl beta:

 

http://www.notepad.lv/viewtopic.php?t=1529

 

Tīri vienkāršām web lapām.

 

Pagaidām, pirmais izmeiģinātājs ar otro beta versiju:

 

Zenit.oo.lv

Link to comment
Share on other sites

Nu teikšu uzreiz. Man tas CMS nepatīk. Kaut kas ar dizainu nav tā kā vajag. Pati mājas lapa ir okey, bet CMS dizains nevisai.

 

TB cik nopratu CMS tirgojās 249 Ls?

 

Tad labāk, tiek kuriem vajag, piedāvāju savu variantu, pagaidām vēl beta:

 

http://www.notepad.lv/viewtopic.php?t=1529

 

Tīri vienkāršām web lapām.

 

Pagaidām, pirmais izmeiģinātājs ar otro beta versiju:

 

Zenit.oo.lv

 

Interesanti, ka tu par CMS spried tikai pec ta dizaina :). Mazam majas lapam, cik esmu taisijis, cilveki ir apmierinati.

 

Par cenu runajot - 249ls ir cena ar visu dizainu un info savadisanu, ka ari protams n-takajam tiksanam :)

 

Runajot par tavu varinatu - cik saprotu, tad visas tas iespejas jau ir panemtas no PHPBB portal? Vai ir korekti to saukt tad par NOTEPAD CMS :) - bet nu vismaz noverteju ka par to neprasi nekadu naudinu.

Link to comment
Share on other sites

Tas ir standarta phpbb, kurš ir pielāgots priekš CMS vienkāršām web lapām. Redzi, es to varu saukt kā es vien gribu, jo apakšā jau vienmēr paliks powered by phpbb + tur nāk vēl mans kods, manas modifikācijas, dizains un viss pārējais.

 

Tīri par CMS nekas netiek prasīts, bet ja kādam veidoju webu, tad tīri tikai paņemu samaksu par pašu lapu un minimālu samaksu par CMS pielāgošanu, nevis par pašu kodu.

 

Izmaksas svārstās no 200 Ls.

Link to comment
Share on other sites

Teikšu tā - phpBB, kā jau visos opensource projektos (nu gandrīz visos :) ir savi security caurumi - tiesa gan, tie noteikti ir mazāki, nekā Pētera Gejiņa (atvasināts no vārda Lejiņš - sk. latviskojot Wordā, piem :D ) privātajā CMSā, bet opensource jau ir paspējuši izpētīt visādas ļaundabīgas personas un neviens svarīgs uzņēmums netaisīs sev mājaslapu, kurai apakšā būs Powered by ... :) Ideālā gadījumā pēc url neko nevar pateikt pat kādā tehnoloģijā mājaslapa taisīta, nemaz nerunājot par cms, kāds tas ir... Nevienam nav jāzin, kāds kods stāv apakšā tavai mājaslapai, jo uzlauzt var gandrīz visu, pie kā nav pastiprināti piestrādāts!

Link to comment
Share on other sites

Nu nezinu, pagaidām neviens neko nav uzlauzis, ja nu vienīgi ir kaut kādi file upload neaizsargāti, tad jā.

 

Nu nez, re kur Platform records paņemts priekšā:

 

http://datuve.lv/saites/2958/

 

Un tur vai tad ir kāds powered by? Muļķības, bet sava taisība jau ir.

 

Un kas attiecās uz šo variantu, tad tas DirCMS ir uzlausts, tā es vismaz nopratu. Ja nu kādam patīk, var arī to manu CMS palaust.

Edited by foxsk8
Link to comment
Share on other sites

Runājot par drošību - daļēji piekrītu Robim - parasti visiem šiem opensource forumiem ik pa laikam tiek atklāti dažādi drošības caurumi. Tāpat arī tiek regulāri izlaistas jaunas versijas, kurās, loģiski, šie caurumi tiek lāpīti. Tātad, ja tiek paņemts viens no šiem opensource forumiem un appaudzēts ar visādām fīčam un nopārdots kādam klientam (kas reāli nozīmē kā saitam apakšā esošais foruma kods nākotnē vairs netiks atjaunināts), tad prakstiski neizbēgami pēc, piemēram, diviem gadiem, šis saits būs ļoti vulnerabls. Katrs, kas mācēs atpazīt, ka konkrētais saits ir uz kaut kāda open source foruma bāzēts, un mācēs izmantot gūgli, spēs salauzt šo saitu.

 

Un vispār - es te visu laiku vāros "open source" "open source", bet vispār tas attiecas uz jebkādu populāru un izplatītu softu. Labs piemērs ar to pašu boot.lv - uzlauza, jo bija veca IPB versija (nu vismaz tāda ir officiālā versija, cik noprotu).

Link to comment
Share on other sites

Nu nezinu, pagaidām neviens neko nav uzlauzis, ja nu vienīgi ir kaut kādi file upload neaizsargāti, tad jā.

 

Nu nez, re kur Platform records paņemts priekšā:

 

http://datuve.lv/saites/2958/

 

Un tur vai tad ir kāds powered by? Muļķības, bet sava taisība jau ir.

 

Un kas attiecās uz šo variantu, tad tas DirCMS ir uzlausts, tā es vismaz nopratu. Ja nu kādam patīk, var arī to manu CMS palaust.

 

Sakuma nebiju atsledzis visas admin iespejas, tapec ari nav korekti teikt ka DirCMS tika uzlausts :) - tagad jau kadu laicinu viss ar ko var sachakaret kaut ko ir atslegts - tapec ka ir tadi cilvecini, kas grib kaut ka pasapliecinaties sachakarejot ko vien var sachakaret :(.

Link to comment
Share on other sites

×
×
  • Create New...