Diskuze: Šlo by to nějak lepe zabezpečít ? Popřipadně jak?
Člen
Milan Turyna:25.4.2021 16:34
Me rady, nejen bezpecnostni:
1. config.php
- zabezpecit proti utoku SQL injection pomoci prepared statements (https://www.w3schools.com/…atements.asp), napr: radek 22
- kvuli tomu, ze tam vypisujes promennou primo do textoveho retezce bez escapovani (ci jine ochrany) a tim padem pri zmene par pismen muze utocnik ziskat potrebna data
- formatovani kodu (i v ostatnich souborech)
- pouzivej prosim nejaky editor ktery ti odsadi logicke bloky a funkce, nebot je to hruza
- pokud se jedna o vetsi system, tak je do budoucna dobre pouzivat nejakou knihovnu pro spravu session, kde muzes mit dane sessions serazene dle kontextu (uzivatel, nastaveni zobrazeni, jazyk atd. atd.) aby se ti nestalo, ze si obcas prepises nejaky klic a ani nevis jak, neco podobne jako: https://doc.nette.org/cs/3.1/sessions
if($is_Admin == 0) {
// proc nastavujes promennou $is_Admin na 0, kdyz jsi prave zkontroloval ze je rovna 0?
$is_Admin = 0;
$_SESSION['admin'] = $is_Admin;
$rank = 'Nezaregistrovaný';
}
// to stejne v dalsich xxy. podminkach¨
- pri kontrolovani, zda je $is_Admin rovno danemu cislu, pouzivas operator pro porovnani bez ohledu na datovy typ ==, pouzival bych === pro porovnani vcetne datoveho typu
- k tomu co delas (pravdepodobne ticket system) bych doporucil naucit se objektove orientovane programovani, aspon na zakladni urovni, bude to pak jednodussi, efektivnejsi a lepe pridas nove funkce
- ja jsem delal neco podobneho jak ty, taky na tematiku minecraftu, akorat komplexnejsi vcetne celeho redakcniho systemu, helpdesku, statistik a hrackeho panelu, neni to nic svetobornyho ani uplne best-practices, ale inspirovat by ses mohl https://github.com/…craft-webcms, je to Nette a PHP
- pote az prejdes na OOP, tak misto ukladani nazvu role do $rank bych udelal nejakou tridu a nasazel bych tam objekty, kde bys mel ulozeny nazev, prava atd.
2. login.php
- mas nejaky speficky duvod proc pouzivat pro prijate data $_REQUEST nikoliv
$_POST a $_GET?
- ve formulari mas nastaveny POST
- $_REQUEST obsahuje jak POST pozadavky tak i GET pozadavky, dle meho je lepsi vzdy vedet jaky to je
if ($query == false) // nemusis psat == false, staci if(!$query)
{
die('Query přikaz nebyl vykonan');
}- je zbytecne pouzivat cyklus while, nebot vis, ze vzdycky se provede pouze jednou (bud bude uzivatel presmerovan - header() a nebo bude prerusen skript - die())
$_SESSION['valid'] = 'valid'; // proc nastavujes do promenne 'valid'? to to nekde vypisujes?
$_SESSION['valid'] = true; // pokud to mas jen jako kontrolu, pouzij true a nebo 13.
- while loop, viz: 2. bod
- prazdne else, radek 27
if ($vysledek->num_rows > 0)
{
....
}
else
{
}4. v mnoha pripadech pletes cestinu a anglcitinu dohromady
Co se tyce tve otazky k SQL Injection:
- je vice zpusobu jak se ji branit
- napr: prepared statements jak jsem ti poslal odkaz, mysqli_real_escape_string
- prepared_statements, cili funkce bind_param je dle meho nejvhodnejsi, ovsem v mysqli je nemile udelana a lepsi je napriklad v PDO
// PDO
$conn = new PDO("mysql:host=host;dbname=db", "user", "pass");
$conn->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);
$stmt = $conn->prepare("INSERT INTO MyGuests (firstname, lastname, email)
VALUES (:firstname, :lastname, :email)");
$stmt->bindParam(':firstname', $firstname);
$stmt->bindParam(':lastname', $lastname);
$stmt->bindParam(':email', $email);
$firstname = "John";
$lastname = "Doe";
$email = "[email protected]";
$stmt->execute();.
// mysqli
$conn = new mysqli($servername, $username, $password, $dbname);
if ($conn->connect_error) die("Connection failed: " . $conn->connect_error);
$stmt = $conn->prepare("INSERT INTO MyGuests (firstname, lastname, email) VALUES (?, ?, ?)");
$stmt->bind_param("sss", $firstname, $lastname, $email);
$firstname = "John";
$lastname = "Doe";
$email = "[email protected]";
$stmt->execute();
Akceptované řešení
+20 Zkušeností
+2,50 Kč
+20 Zkušeností
+2,50 Kč
Zobrazeno 3 zpráv z 3.