PHP | אבטחה. - עמוד 4 - הוסטס

HagaiA · 15-07-07, 19:25

אי אפשר לאבטח אתר בלי לראות אותו ולגלות את הפירצות שבו,אין כזה דבר,
אבל לאבטח אתר בקובץ אחד - יש אפשרות בחלק מהמקרים מכיוון שזה גלובאלית מאבטח את המשתנים הסופרגלובאלים וכו'.

mysql_escape_string בעצם מסנן פקודות וכו' של המסד

בקשר לRFI כבר עניתי על זה לדוג' קח את ההזרקת SQL.

בתודה,חגי אבישר,
שמחתי לעזור ואני גם רוצה להגיד את דעתי בנוגע לזה שמגיבים כאן כלכך הרבה וזריז,
יש כאן תחרות,התחרות היא ספציפית לגבי אבטחת מידע ותיכנות, אלה שמגיבים כאן ומתווכחים מנסים גם להוכיח את עצמם שהם טובים ולא רק לעזור, לפחות זוהי דעתי בנושא.

ASTeam · 15-07-07, 20:35

שמע יכול להיות שאתה צודק עם הקטע של העזרה.
אבל עכשיו כל אחד מתלכלך על השני...
הם אמרו שאתה חלטוריסט אתה אומר שהם לא באמת עוזרים סתם טובות הנאה וכו'.
זה לא יגמר וחלאס...
"אי אפשר לאבטח אתר בלי לראות אותו ולגלות את הפירצות שבו,אין כזה דבר,
"
מצטער לומר לך באתר שלך - phpsec.net היה את זה...
עכשיו עזוב את זה..מה שסיכמתי שם היה נכון?!

HagaiA · 16-07-07, 01:27

א.לא אמרתי שהם לא באמת עוזרים,אתה ראית שהם באמת עזרו,פשוט אמרתי שיש חלק שהכוונה שלהם זה לא רק עזרה
ב.יש הרבה שמועות,חצאי שקרים אבל שידברו,מי שמכיר אותי יודע מי אני ואם אתה תכיר גם אתה תדע ואני יוסיף אותך לאייסיקיו נדבר שם מחר גבר.
ג.בPHPSEC רשום את מה אני מאבטח,לא רשום שזה מוכן ולא כלום,האבטחה המוכנה שלי היא למערכות מוכנות,כאלה שהגדרתי להם את האבטחה מראש,וגם כמו שאמרתי ואם לא אז תדע שאבטחת מידע זה דבר אינטגרלי שתמיד צריך להשתנות ואני תמיד משנה דברים במקומות ואני בחיים לא שם סתם אבטחה שלא קשורה למערכת בלי שאני מכיר את הניצולים שבה.
בקשר למה שסיכמת שם אני יבדוק את זה מחר ממש אין לי כוח עכשיו אבל מחר בכיף גבר.

HagaiA · 16-07-07, 01:44

א.לא אמרתי שהם לא באמת עוזרים,אתה ראית שהם באמת עזרו,פשוט אמרתי שיש חלק שהכוונה שלהם זה לא רק עזרה
ב.יש הרבה שמועות,חצאי שקרים אבל שידברו,מי שמכיר אותי יודע מי אני ואם אתה תכיר גם אתה תדע ואני יוסיף אותך לאייסיקיו נדבר שם מחר גבר.
ג.בPHPSEC רשום את מה אני מאבטח,לא רשום שזה מוכן ולא כלום,האבטחה המוכנה שלי היא למערכות מוכנות,כאלה שהגדרתי להם את האבטחה מראש,וגם כמו שאמרתי ואם לא אז תדע שאבטחת מידע זה דבר אינטגרלי שתמיד צריך להשתנות ואני תמיד משנה דברים במקומות ואני בחיים לא שם סתם אבטחה שלא קשורה למערכת בלי שאני מכיר את הניצולים שבה.
בקשר למה שסיכמת:
בוטים\ספאם: אל תבדוק רק לפי סשן תעשה שמירה של IP בטקסט ואז אתה יכול לעשות אפ' FILE_GET_CONTENTS וSTRSTR לIP

בקשר לXSS:
"וגם חשוב לא לגרום לשגיאות למשל אם יש ?page=30 ועמוד 31 לא קיים אז שיבדוק שאם העמוד לא קיים שיעשה DIE אבל שלא יציג שגיאה,
אלה דברים חשובים שאתה חייב לזכור."

ASTeam · 16-07-07, 10:20

זה קשור לXSS??
הרי אם עשיתי אינבטל אפחד לא יכול להכניס שם שום דבר חוץ ממספרים...
אז מה זה משנה?

**Tomer** · 16-07-07, 13:16

ציטוט:

נכתב במקור על ידי Keyboard_C

אי אפשר לאבטח אתר בלי לראות אותו ולגלות את הפירצות שבו,אין כזה דבר,
אבל לאבטח אתר בקובץ אחד - יש אפשרות בחלק מהמקרים מכיוון שזה גלובאלית מאבטח את המשתנים הסופרגלובאלים וכו'.

mysql_escape_string בעצם מסנן פקודות וכו' של המסד

בקשר לRFI כבר עניתי על זה לדוג' קח את ההזרקת SQL.

בתודה,חגי אבישר,
שמחתי לעזור ואני גם רוצה להגיד את דעתי בנוגע לזה שמגיבים כאן כלכך הרבה וזריז,
יש כאן תחרות,התחרות היא ספציפית לגבי אבטחת מידע ותיכנות, אלה שמגיבים כאן ומתווכחים מנסים גם להוכיח את עצמם שהם טובים ולא רק לעזור, לפחות זוהי דעתי בנושא.

אז למה אתה קורא לזה RFI ולא SQL Injection? בבקשה ממך, תפסיק לדבר שטויות ואל תנסה להתלהב כאן על אנשים, ואני אומר את זה בנימה מאוד חברותית.

HagaiA · 16-07-07, 16:05

אה אם עשית INTVAL אז סבבה
ובקשר אליך תומר:
RFI יכול להיות גם PHP INJECTION אבל נתתי לך דוג' חדה שתמחיש לך את העיקרון של הRFI.
לא ניסיתי להתלהב על אנשים וכל מי שחושב ככה כרגע מקבל את סליחתי

RS324 · 16-07-07, 22:20

תשמע חגי, אתה מדבר שטויות והרבה פעמים, אתה מוכר לאנשים דברים שלדעתי הם שקר
מה נראה לך שכולם נגדך ?
תהיה אמיתי זה ישתלם בסוף.... מה שאתה עושה או יותר נכון קורא לזה "מאבטח אתרים מקצועי"
זה שקר בעיינים... אמרתי לך את זה פעם באופן פרטי.

מילא היית מוכר לאנשים "אבטחה" ולא מדבר כל כך הרבה שטויות אז זה אולי היה נשמע אחרת.

והמסר שלי הוא, שאף אחד לא נגדך פה, אתה גורם לזה על ידי זה שאתה מפגין חוסר ידע \ ממציא ביטויים שלא קיימים \ עובד על אנשים בעיינים

אז ב 2 מילים, דיי תפסיק.
מה שאתה עושה לא מכבד אותך, ולא מכבד קהילה שלמה של מתכנתים.

Eran-s · 16-07-07, 23:41

חחחח מבירור שלי בנוסף לבדיקה שעשה כאן מישהו באשכול, יש ביטוי שנקרא RFI שקשור לאבטחה אבל זה לא מה שחגי ציין.
הפירוש של RFI באבטחה הוא Remote File Include, מה שמעיד על כך שחגי בטח שמע בעבר על הביטוי והריץ חיפוש בגוגל או וויקיפדיה ורשם מה זה וטעה.

HagaiA · 17-07-07, 03:15

מפגין חוסר ידע?לא חושב,תראה לי דבר אחד שציינתי שהוא טעות
בקשר לביטויים שאתה אומר שאני ממציא וגם אתה ערן,
באבטחת מידע RFI זה Request For Info אז כאן תסתובבו ותסתכלו על עצמכם ותבינו שאתם טועים, תצאו מהבועה שלכם,לחרטט אותכם אין לי שום סיבה וגם מניע אני בכלל לא מכיר אותכם,
רוצים להמשיך להתווכח?בכיף.

15-07-07, 19:25	# 31
HagaiA חבר מתקדם מיני פרופיל תאריך הצטרפות: Apr 2006 גיל: 32 הודעות: 605	אי אפשר לאבטח אתר בלי לראות אותו ולגלות את הפירצות שבו,אין כזה דבר, אבל לאבטח אתר בקובץ אחד - יש אפשרות בחלק מהמקרים מכיוון שזה גלובאלית מאבטח את המשתנים הסופרגלובאלים וכו'. mysql_escape_string בעצם מסנן פקודות וכו' של המסד בקשר לRFI כבר עניתי על זה לדוג' קח את ההזרקת SQL. בתודה,חגי אבישר, שמחתי לעזור ואני גם רוצה להגיד את דעתי בנוגע לזה שמגיבים כאן כלכך הרבה וזריז, יש כאן תחרות,התחרות היא ספציפית לגבי אבטחת מידע ותיכנות, אלה שמגיבים כאן ומתווכחים מנסים גם להוכיח את עצמם שהם טובים ולא רק לעזור, לפחות זוהי דעתי בנושא. __________________ חגי אבישר - פיתוח מערכות מידע ואפליקציות אינטרנט.

15-07-07, 20:35	# 32
ASTeam חבר מתקדם מיני פרופיל תאריך הצטרפות: Jun 2006 הודעות: 580	שמע יכול להיות שאתה צודק עם הקטע של העזרה. אבל עכשיו כל אחד מתלכלך על השני... הם אמרו שאתה חלטוריסט אתה אומר שהם לא באמת עוזרים סתם טובות הנאה וכו'. זה לא יגמר וחלאס... "אי אפשר לאבטח אתר בלי לראות אותו ולגלות את הפירצות שבו,אין כזה דבר, " מצטער לומר לך באתר שלך - phpsec.net היה את זה... עכשיו עזוב את זה..מה שסיכמתי שם היה נכון?! __________________

16-07-07, 01:27	# 33
HagaiA חבר מתקדם מיני פרופיל תאריך הצטרפות: Apr 2006 גיל: 32 הודעות: 605	א.לא אמרתי שהם לא באמת עוזרים,אתה ראית שהם באמת עזרו,פשוט אמרתי שיש חלק שהכוונה שלהם זה לא רק עזרה ב.יש הרבה שמועות,חצאי שקרים אבל שידברו,מי שמכיר אותי יודע מי אני ואם אתה תכיר גם אתה תדע ואני יוסיף אותך לאייסיקיו נדבר שם מחר גבר. ג.בPHPSEC רשום את מה אני מאבטח,לא רשום שזה מוכן ולא כלום,האבטחה המוכנה שלי היא למערכות מוכנות,כאלה שהגדרתי להם את האבטחה מראש,וגם כמו שאמרתי ואם לא אז תדע שאבטחת מידע זה דבר אינטגרלי שתמיד צריך להשתנות ואני תמיד משנה דברים במקומות ואני בחיים לא שם סתם אבטחה שלא קשורה למערכת בלי שאני מכיר את הניצולים שבה. בקשר למה שסיכמת שם אני יבדוק את זה מחר ממש אין לי כוח עכשיו אבל מחר בכיף גבר. __________________ חגי אבישר - פיתוח מערכות מידע ואפליקציות אינטרנט.

16-07-07, 01:44	# 34
HagaiA חבר מתקדם מיני פרופיל תאריך הצטרפות: Apr 2006 גיל: 32 הודעות: 605	א.לא אמרתי שהם לא באמת עוזרים,אתה ראית שהם באמת עזרו,פשוט אמרתי שיש חלק שהכוונה שלהם זה לא רק עזרה ב.יש הרבה שמועות,חצאי שקרים אבל שידברו,מי שמכיר אותי יודע מי אני ואם אתה תכיר גם אתה תדע ואני יוסיף אותך לאייסיקיו נדבר שם מחר גבר. ג.בPHPSEC רשום את מה אני מאבטח,לא רשום שזה מוכן ולא כלום,האבטחה המוכנה שלי היא למערכות מוכנות,כאלה שהגדרתי להם את האבטחה מראש,וגם כמו שאמרתי ואם לא אז תדע שאבטחת מידע זה דבר אינטגרלי שתמיד צריך להשתנות ואני תמיד משנה דברים במקומות ואני בחיים לא שם סתם אבטחה שלא קשורה למערכת בלי שאני מכיר את הניצולים שבה. בקשר למה שסיכמת: בוטים\ספאם: אל תבדוק רק לפי סשן תעשה שמירה של IP בטקסט ואז אתה יכול לעשות אפ' FILE_GET_CONTENTS וSTRSTR לIP בקשר לXSS: "וגם חשוב לא לגרום לשגיאות למשל אם יש ?page=30 ועמוד 31 לא קיים אז שיבדוק שאם העמוד לא קיים שיעשה DIE אבל שלא יציג שגיאה, אלה דברים חשובים שאתה חייב לזכור." __________________ חגי אבישר - פיתוח מערכות מידע ואפליקציות אינטרנט.

16-07-07, 10:20	# 35
ASTeam חבר מתקדם מיני פרופיל תאריך הצטרפות: Jun 2006 הודעות: 580	זה קשור לXSS?? הרי אם עשיתי אינבטל אפחד לא יכול להכניס שם שום דבר חוץ ממספרים... אז מה זה משנה? __________________


	ההרשמה לפורום נפתחה - אפשרות רישום לכל אימייל (דומיינים פרטיים, gmail, הוטמייל..)!

16-07-07, 16:05	# 37
HagaiA חבר מתקדם מיני פרופיל תאריך הצטרפות: Apr 2006 גיל: 32 הודעות: 605	אה אם עשית INTVAL אז סבבה ובקשר אליך תומר: RFI יכול להיות גם PHP INJECTION אבל נתתי לך דוג' חדה שתמחיש לך את העיקרון של הRFI. לא ניסיתי להתלהב על אנשים וכל מי שחושב ככה כרגע מקבל את סליחתי __________________ חגי אבישר - פיתוח מערכות מידע ואפליקציות אינטרנט.

16-07-07, 22:20	# 38
RS324 תודה על תרומתך. מיני פרופיל תאריך הצטרפות: May 2006 הודעות: 3,173	תשמע חגי, אתה מדבר שטויות והרבה פעמים, אתה מוכר לאנשים דברים שלדעתי הם שקר מה נראה לך שכולם נגדך ? תהיה אמיתי זה ישתלם בסוף.... מה שאתה עושה או יותר נכון קורא לזה "מאבטח אתרים מקצועי" זה שקר בעיינים... אמרתי לך את זה פעם באופן פרטי. מילא היית מוכר לאנשים "אבטחה" ולא מדבר כל כך הרבה שטויות אז זה אולי היה נשמע אחרת. והמסר שלי הוא, שאף אחד לא נגדך פה, אתה גורם לזה על ידי זה שאתה מפגין חוסר ידע \ ממציא ביטויים שלא קיימים \ עובד על אנשים בעיינים אז ב 2 מילים, דיי תפסיק. מה שאתה עושה לא מכבד אותך, ולא מכבד קהילה שלמה של מתכנתים. __________________ כלים לקידום אתרים בלוג PHP למתקדמים

16-07-07, 23:41	# 39
Eran-s הוסטסניון מיני פרופיל תאריך הצטרפות: Oct 2005 הודעות: 2,609	חחחח מבירור שלי בנוסף לבדיקה שעשה כאן מישהו באשכול, יש ביטוי שנקרא RFI שקשור לאבטחה אבל זה לא מה שחגי ציין. הפירוש של RFI באבטחה הוא Remote File Include, מה שמעיד על כך שחגי בטח שמע בעבר על הביטוי והריץ חיפוש בגוגל או וויקיפדיה ורשם מה זה וטעה. __________________ מפתח ומתחזק אתרים.

17-07-07, 03:15	# 40
HagaiA חבר מתקדם מיני פרופיל תאריך הצטרפות: Apr 2006 גיל: 32 הודעות: 605	מפגין חוסר ידע?לא חושב,תראה לי דבר אחד שציינתי שהוא טעות בקשר לביטויים שאתה אומר שאני ממציא וגם אתה ערן, באבטחת מידע RFI זה Request For Info אז כאן תסתובבו ותסתכלו על עצמכם ותבינו שאתם טועים, תצאו מהבועה שלכם,לחרטט אותכם אין לי שום סיבה וגם מניע אני בכלל לא מכיר אותכם, רוצים להמשיך להתווכח?בכיף. __________________ חגי אבישר - פיתוח מערכות מידע ואפליקציות אינטרנט.

חברים פעילים הצופים באשכול זה: 1 (0 חברים ו- 1 אורחים)