Отправляет email-рассылки с помощью сервиса Sendsay

RFpro.ru: Программирование на PHP

  Все выпуски  

RusFAQ.ru: Программирование на PHP


Новое направление Портала RusFAQ.ru:
MosHoster.ru - Профессиональный хостинг

РАССЫЛКИ ПОРТАЛА RUSFAQ.RU

/ КОМПЬЮТЕРЫ И ПО / Языки программирования / PHP

Выпуск № 824
от 28.11.2007, 13:35

Администратор:Калашников О.А.
В рассылке:Подписчиков: 449, Экспертов: 48
В номере:Вопросов: 1, Ответов: 2


Вопрос № 110569: Здравствуйте! Сегодня мой сайт пытались взломать :))) Моя система отсленживания действий пользователя зафиксировала следующие действия: guest'/*N*/and/*N*/'a'='a guest' guest'/*N*/and/*N*/'a'='b guest/*N*/and/*N...

Вопрос № 110.569
Здравствуйте!
Сегодня мой сайт пытались взломать :)))
Моя система отсленживания действий пользователя зафиксировала следующие действия:

guest'/*N*/and/*N*/'a'='a
guest'
guest'/*N*/and/*N*/'a'='b
guest/*N*/and/*N*/0=1
guest/*N*/and/*N*/1=1
guest'/*N*/and/*N*/'b'='b
guest/*N*/and/*N*/0=0
guest'/*N*/and/*N*/'a'='b
guest/*N*/and/*N*/0=1
guest'
guest/*N*/and/*N*/0=0
guest/*N*/and/*N*/1=1
guest'/*N*/and/*N*/'a'='a
guest'/*N*/and/*N*/'b'='b

подскажите, пожалуйста, что именно хотел сделать злоумышленник, с чем он обломался? :) А то сайты писать более-менее научился, защиту стандартную заложил, но мало ли! Пасиб! :)

p/s/ и, если кто знает, что это за сканер или технология?
Отправлен: 22.11.2007, 18:08
Вопрос задал: Константин Гергель (статус: Посетитель)
Всего ответов: 2
Мини-форум вопроса >>> (сообщений: 2)

Отвечает: Емельянов Данил Юрьевич
Здравствуйте, Константин Гергель!
На первый взгляд это очень похоже на попытку взлома БД, т.е. SQL-инъекция. Об этом много пишут в инете. При удачной такой инъекции вы рискуете потерять всю БД. Я так понимаю эти данные вводятся через форму и возможно связаны с БД MySQL.
---------
Жить хорошо, а хорошо жить еще лучше!
Ответ отправил: Емельянов Данил Юрьевич (статус: 3-ий класс)
Ответ отправлен: 22.11.2007, 18:27

Отвечает: Товарищ Бородин
Здравствуйте, Константин Гергель!
Чтобы спать спокойно, хорошо бы использовать strip_tags в связке с mysql_real_escape_string + отключенный register_globals + кроме того проверять данные не только на наличие в них запрещенных всяких штук, но и просто на валидность, на их корректность. Кроме того, хороший результат может дать использование mod_rewrite определенным образом, а именно, если сайт не слишком разветвленный, то все некорректные пути и запросы переводить на корректный запрос.

Короче говоря, пропасть всего существует для решения Ваших проблем. Но я бы все равно не слишком полагался на системы защиты. Нет сайта, который бы нельзя было взломать. Есть сайты, которые легко взломать и трудно взломать, а также которые трудно не взломать. Не оставляйте в сайтах дыр, а то это провоцирует некоторых... Еще советую для повышения безопасности и качества использовать MVC - разделяйте PHP и HTML, делите логику приложения. И поменьше самонадеянности. С уважением, Бородин Александр
---------
Ничто не сближает людей так, как совместное преступление.
Ответ отправил: Товарищ Бородин (статус: Студент)
Ответ отправлен: 22.11.2007, 18:55
Оценка за ответ: 5
Комментарий оценки:
Спасибо за информацию!


Отправить вопрос экспертам этой рассылки

Приложение (если необходимо):

* Код программы, выдержки из закона и т.п. дополнение к вопросу.
Эта информация будет отображена в аналогичном окне как есть.

Обратите внимание!
Вопрос будет отправлен всем экспертам данной рассылки!

Для того, чтобы отправить вопрос выбранным экспертам этой рассылки или
экспертам другой рассылки портала RusFAQ.ru, зайдите непосредственно на RusFAQ.ru.


Форма НЕ работает в почтовых программах The BAT! и MS Outlook (кроме версии 2003+)!
Чтобы отправить вопрос, откройте это письмо в браузере или зайдите на сайт RusFAQ.ru.


© 2001-2007, Портал RusFAQ.ru, Россия, Москва.
Авторское право: ООО "Мастер-Эксперт Про"
Техподдержка портала, тел.: +7 (926) 535-23-31
Хостинг: "Московский хостер"
Поддержка: "Московский дизайнер"
Авторские права | Реклама на портале
Версия системы: 4.64 от 24.11.2007
Яндекс Rambler's Top100
RusFAQ.ru | MosHoster.ru | MosDesigner.ru | RusIRC.ru
Kalashnikoff.ru | RadioLeader.ru | RusFUCK.ru

В избранное