אשכול: עזרה ממש דחופה! , חייב עזרה!
View Single Post
ישן 21-02-10, 22:51   # 8
Daniel
אחראי פורום
 
מיני פרופיל
תאריך הצטרפות: Mar 2007
הודעות: 2,875

Daniel לא מחובר  

ציטוט:
נכתב במקור על ידי Kuchi צפה בהודעה
איך אתם הורסים בן אדם !
אחי פשוט תעשה שהשרת יבדוק כניסת אייפי ושהכניסה שלו יכולה להיות 3 ל15 שניות מה זאת אומרת ?
אם עכשיו אותו אייפי ביצע כניסה לשרת (בקשת מידע) מהאתר או כל דבר אחר השרת מזהה את האייפי שלו אם הוא ביצע יותר מ3 או בוא נעשה טיפה יותר 8 בפחות מ 15 שניות שינתן אותו ובאן
אם אתה לא יודע איך דבר עם בעל השרת

בן לא חייבים למצוא הזרקות כדי ליצור עומס מספיק ריפרשים או דף עם מלא תמונות וכדומה

ודניאל אתה בכלל מטעה אנשים "אין כזה דבר "אבטחה נגד הזרקות" "
מה אתה מז**ן בשכל ?
א ) יש !
ב ) אבטחה פשוטה ? לעשות בדיקה אם השרת ביקש את ההזרקה או שההזרקה באה משורת הכתובת
ג ) אישור של רק מספרים
ד ) לא לעבוד לפי הזרקות ישירות מהכתובת
ה ) עוד מלא אבל מאחר ואין לי ממש כח אז אני לא מוסיף
בקיצור יש אבטחה מהזרקות אז אל תגיד שאין

פותח האשכול על איזה אתר מדובר תביא לי ואני אחפש מקורות לתקלות ואגיד לך איפה ניתן לתקן
דניאל ובן אתם פשוט גורמים להטעייה של אנשים

אה ודניאל חמוד הבדיקה שאם יש SELECT מזמן עוד בשנת 99 כבר גילו איך לעקוף אותה LOL
כנראה שממש לא הבנת אותי נכון או שאני לא הבנתי אותך.
א) שום דבר חיצוני שתעשה (חוץ מ-unset($_POST, $_GET, $_REQUEST, $_COOKIE, $_SERVER) או משהו מטורף) לא ימנע SQL INJECTION אם יש כבר בעייה במערכת. ואל תיהיה קטנוני בנקודה הזאת (כן, אם אני אעשה intval לכל דבר אז.... אבל מה שהוא דיבר פה זה משהו חיצוני שהוא "מלביש" במערכת).
ב) מה? על מה אתה מדבר בכלל? http://unixwiz.net/techtips/sql-injection.html ניקח לדוגמא את הדוגמא הראשונה. מאיפה אתה יכול לגלות כבר "מאיפה ההזרקה הגיעה"? מה שאמרת פשוט לא נכון..
ג) עוד פעם. אני לא דיברתי על בנייה של מערכת. אני אומר ששום "אבטחה חיצונית" לא תמנע SQL INJECTION, ראה סייג בסעיף א).
ד) מה? ראה סעיף ב).

יש בנייה נכונה כדי להימנע מהזרקות.
אם יש "הזרקה", שום "אבטחה חיצונית" לא תמנע את זה, ואני מקווה שזה מה שהתכוונת גם.

אני מאוד אשמח אם תוריד את הגישה שלך שנמצאת כנראה 10 מדרגות מעליי לפי הטון דיבור הזה. אני מאוד מקווה שהמשך השורה שלך לא נכתבה ברצינות, ואם כן: אנא קרא מחדש את רצף ההודעות באשכול. אמרתי כאן במפורש ששום דבר בסגנון הזה (נתתי כדוגמא את העניין של ה-SELECT).לא יכול "להיחסם" על ידי "אבטחה חיצונית".


וכדי להבהיר שוב את הנקודה שלי: מערכת שבנוייה נכון חסינה לחלוטין מפריצות (ולא, אני לא מדבר על התקפות על השרת, פצצות גרעיניות על חוות השרתים או אנשי תחזוקה סוררים).
מערכת שבנוייה לא נכון ובעלת פירצות, לשים לה "אבטחה חיצונית" כביכול זה בדיוק כמו להחליף את הדלת בבית שלך בקרטון דק ולקוות שמי שירצה להיכנס פנימה יחשוב שזה בעצם דלת עופרת יצוקה.



אנא רד מהעץ הגבוה בתגובה הבאה בבקשה (וזה היה מכוון למשפט האחרון בעיקר).
Last edited by Daniel; 21-02-10 at 22:58..
  Reply With Quote