NOVINKA - Online rekvalifikační kurz Python programátor. Oblíbená a studenty ověřená rekvalifikace - nyní i online.
Hledáme nové posily do ITnetwork týmu. Podívej se na volné pozice a přidej se do nejagilnější firmy na trhu - Více informací.

Diskuze – Lekce 6 - Obrana proti útoku Mass assignment v PHP

Zpět

Upozorňujeme, že diskuze pod našimi online kurzy jsou nemoderované a primárně slouží k získávání zpětné vazby pro budoucí vylepšení kurzů. Pro studenty našich rekvalifikačních kurzů nabízíme možnost přímého kontaktu s lektory a studijním referentem pro osobní konzultace a podporu v rámci jejich studia. Toto je exkluzivní služba, která zajišťuje kvalitní a cílenou pomoc v případě jakýchkoli dotazů nebo projektů.

Komentáře
Avatar
Michal Žůrek - misaz
Tvůrce
Avatar
Odpovídá na asanos
Michal Žůrek - misaz:29.3.2014 21:56

to se najde vždycky, nemusíš se bát.

 
Odpovědět
29.3.2014 21:56
Avatar
Martin Konečný (pavelco1998)
Tvůrce
Avatar
Odpovídá na asanos
Martin Konečný (pavelco1998):30.3.2014 14:32
  1. Ano, mám v plánu ještě nějaké články připsat, jen to z určitých důvodů nemohu udělat teď.
  2. Zneužít se toho dá - a právě kvůli tomu tato sekce vůbec nemusela vzniknout. Podle mého názoru je ale lepší ten útok ukázat, aby web vývojáři věděli, co je může postihnout a jak tomu mají předcházet.
  3. O OWASP jsem bohužel neslyšel.
Odpovědět
+2
30.3.2014 14:32
Aktuálně připravuji browser RPG, FB stránka - https://www.facebook.com/AlteiraCZ
Avatar
kuba_kubikula
Člen
Avatar
kuba_kubikula:9.5.2014 0:47

Ahoj,
trošku tápu.
Je aplikace ochráněna proti tomuto útoku když předané hodnoty filtruji
$data1 = filter_input(IN­PUT_POST,'data')
a používám předpřipravenou funkci
$dbh->prepare('SELECT * FROM fruit WHERE ID = ? AND colour = ?');
$dbh->execute(arra­y($data1,$data2);

Děkuji, Jakub

 
Odpovědět
9.5.2014 0:47
Avatar
Michal Žůrek - misaz
Tvůrce
Avatar
Odpovídá na kuba_kubikula
Michal Žůrek - misaz:9.5.2014 6:24

mělo by to být OK.

 
Odpovědět
9.5.2014 6:24
Avatar
BulDozer Diwinorum
Člen
Avatar
BulDozer Diwinorum:11.4.2015 18:48

Ahoj, ahoj.... ja by som sa spytal....

1. je nejaka moznost zistit nazov db alebo nazvy tabuliek alebo stlpcov ak sa tieto nazvy vyskytuju len v mysql dopytoch?

a

2. je v niecom lepsie pouzivat prikaz mysqli_ od mysql_ ?
3. ak uz pouzijem id ako cislo tak to predsa staci overit prikazom is_numeric....alebo sa mylim?

totiz to, moc mi nesadlo OOP a robim radsej proceduralne a priznavam, ze moje programovanie nie je nic extra :D ,kazdopadne v mojich projektoch potrebujem osetrit citlive data

vopred dakujem za rady

Editováno 11.4.2015 18:49
 
Odpovědět
11.4.2015 18:48
Avatar
Martin Konečný (pavelco1998)
Tvůrce
Avatar
Odpovídá na BulDozer Diwinorum
Martin Konečný (pavelco1998):11.4.2015 18:56

zdar,

  1. neznám jiný způsob, kterým by to šlo zjistit, než zobrazením názvu v chybovém hlášení (to by mělo být na ostrém serveru zakázáno).
  2. mysqli neznám, ale má umožňovat např. parametrizované dotazy. Spíš se podívej na PDO (tady je o tom hodně tutoriálů).
  3. is_numeric() moc nepoužívám - když už chci mít v dotazu číslo, tak to přetypuji, je to jistější. Pokud ale jako parametry posíláš uživatelské vstupy ručně, pak je to OK - tento článek mluví spíše o tom, že do DB dotazu vložíš rovnou celé pole (třeba $_POST), aniž by sis zkontroloval, jestli obsahuje pouze to, co očekáváš.
Odpovědět
11.4.2015 18:56
Aktuálně připravuji browser RPG, FB stránka - https://www.facebook.com/AlteiraCZ
Avatar
BulDozer Diwinorum
Člen
Avatar
Odpovídá na Martin Konečný (pavelco1998)
BulDozer Diwinorum:11.4.2015 19:10

tak to by ma ani vo sme nenapadlo :D :D dakujem teda za ukludnenie mojej paranoje :D :D :D ... pozrem teda aj na to OOP, uz niektore kniznice v podstate aj vyuzivam.... hlavne html do pdf alebo posielanie mailov ... a velmi sa mi pacili aj clanky, co napisal David Čápka o vlastnom frameworku... skoda len, ze mi ich neukazalo vsetky do konca.... kazdopadne dik aj za to... tento web je paradny, prehladny a ako jeden z mala aj zrozumitelny

Editováno 11.4.2015 19:11
 
Odpovědět
+1
11.4.2015 19:10
Děláme co je v našich silách, aby byly zdejší diskuze co nejkvalitnější. Proto do nich také mohou přispívat pouze registrovaní členové. Pro zapojení do diskuze se přihlas. Pokud ještě nemáš účet, zaregistruj se, je to zdarma.

Zobrazeno 7 zpráv z 27.