 |
Бесплатные PHP скрипты - форум техподдержки |
Форум техподдержки WR-Скриптов на php. Обсуждаем: основы программирования на PHP 5 - 7 версий, различные подходы к написанию скриптов на php 7 без MySQL. А также WR-скрипты: бесплатные доски объявлений, скрипты форумов, Гостевые книги, Каталог ссылок, Галерея, Фотоальбом, Счётчики, Рассылки, Анекдот и другие. Принимаются пожелания для новых версий. Сообщите какой скрипт нужен для Вашего сайта, постараемся найти или реализовать. Скачать скрипты можно бесплатно. Вместе мы сделаем бесплатные php скрипты лучше и доступнее!
|
| Сегодня: 21.11.2024 - 17:07:23
Мои предложения| Объявление - WR-Scriptы в UTF-8 кодировке |
|---|
Активно обновляю скрипты и перевожу их в UTF-8 кодировку. Список перекодированных php скриптов доступен на главной странице сайта. Скачивайте скрипты и устанавливайте на свой сайт! В ближайшее время обновлю каталог знакомств, форум Про, фотоальбом, доски объявлений лайт и ЛЮКС.
На форуме, пожалуйста, пишите что модернизировать в скриптах в первую очередь. Постараюсь исправить большую часть пожеланий!
Планирую продолжить работы весь 2023 год.
|
| Автор | Сообщение |
|---|
ice-w-ind •
I гость
|
1)Прежде всего нужно проверять вводимые юзером данные и чистить их от html, могу посоветовать вместо $data = htmlspecialchars(stripslashes($data)) использовать $data = htmlentities(stripslashes($data)). Отличие htmlentities от htmlspecialchars состоит в том, что она преобразует ВСЕ сииволы для которых есть html аналоги. Обрезать строки и проверять тип данных в них.
2)Нужно перед обработкой проверить откуда пришли данные и сравнить с адресом серва
3)Обеспечить безопасность файловой системы проверкой валидности имен файлов. Если, конечно,
такие функции имеются
4)Хешировать пароли юзеров! Любым алгоритмом (DES, md5...)
5)Как можно меньше инфы передавать через POST и GET(особенно важной). Использовать сессии, cookies. Сносить сессии по завершению скрипта(Защита от кражи сессионного идентификатора)
6)Всеми возможными способами избежать попадания сообщений об ошибках от интерпритатора в browser
Это лишь малая, но на мой взгляд необходимая последовательность.
P.S. Без базы данных mySQL. Там совсем другая история. | |
|
| Сообщение # 1 |
23.01.06 - 18:53:26
|  |
S@murai •
S гость
|
Так по подробнее со 2 пункта пожалуйста.
Может тут где нить на сайте откроем школу программиста PHP+files и PHP+MySQL???
А? Кто чем может тот если не жалко пусть делится.
Нам beginner`ам будет и приятно и полезно. | |
|
| Сообщение # 2 |
23.01.06 - 22:03:43
| |
WR •
W Участник форума
|
Хотелось бы увидеть примеры защит и обсудить их приимущества по сравнению друг с другом.  | |
|
| Сообщение # 3 |
24.01.06 - 07:07:29
| |
djibo •
D гость
|
ice-w-ind, 5 вопрос слишком буквально могут писать... и все начнут что ни поподя пихать в сессии что тоже неверно... | |
|
| Сообщение # 4 |
24.01.06 - 12:42:05
|
|
ice-w-ind •
I гость
|
|
| Сообщение # 5 |
24.01.06 - 21:21:55
| |
ice-w-ind •
I гость
|
Ну попорядку так по порядку  Тока не все сразу. Начнем со второго пункта
Код:
<?php
$referer = getenv("HTTP_REFERER");//Получаем адрес принятых данных
$referer = preg_replace(".", "\.", $referer); //Экранируем точки
if (!ereg("^http://www.somewhere.ru", $referer)) //Если не равно адресу нашего серва
{
echo "Haker? :)"; //Выдаем деморализующее сообщение
exit; //Завершаем работу скрипта
}
?>
|
| |
|
| Сообщение # 6 |
24.01.06 - 22:28:03
| |
S@murai •
S гость
|
не так быстро плиз, я записываю
И все так просто???
надо в заметки? ctrl+c ctrl+v.
Теперь вопрос.
Когда я локально администрю сайт и тестю всякую хрень на нем. я в адресе пишу такую хрень : http://armageddon/board/index.php то что ты предложил меня деморализует этим : Haker? :) - а как обойти? через II
Код: if (!ereg("^http://www.somewhere.ru", $referer) II !ereg("^http://armageddon", $referer))
|
если я не прав поправь плиз. | |
|
| Сообщение # 7 |
25.01.06 - 21:28:00
| |
Carl_F •
C гость
|
|
| Сообщение # 8 |
09.02.06 - 11:01:38
| |
ice-w-ind •
I гость
|
Carl_F,  да я даже не думал что его будут ломать. Да и не скрипт это, а 10 мин. работы. Я же предупредил. А насчет индивидуальности, ты прав, конечно, но есть несколько основных, не зависящих от конкретного скрипта шаблонов для xss атак. | |
|
| Сообщение # 9 |
12.02.06 - 14:24:09
| |
Carl_F •
C гость
|
Ясно. ОК. Только без обид . | |
|
| Сообщение # 10 |
12.02.06 - 17:17:25
| |
ice-w-ind •
I гость
|
Да ладно. Какие там обиды. Наоборот хорошо что ты его проверил! | |
|
| Сообщение # 11 |
15.02.06 - 17:33:28
| |
Николай •
Н Участник форума
|
Ребята, не знаю, по теме ли... У меня каждый день в гостевой wr появляются сообщения (в день от 10 до тридцати сразу) с указанием ссылок на сайты, то есть чистый "спам" в своем роде (можете посмотреть здесь http://www.randewy.ru/guestbook/index.php). Замучился чистить гостевую! Что нужно сделать? Подскажите, пожалуйста! | |
|
| Сообщение # 12 |
18.02.06 - 02:27:52
| |
|
Главная сайта
Ты говоришь, так, как-будто это какаято вакцина одна "защита" на все скрипты. КАЖДЫЙ СКРИПТ ИНДЕВИДУАЛЕН. И нужно к каждому подбирать свою защиту.