GTA Közösség - A magyar GTA fórum
San Andreas Multiplayer (SA-MP) => SA-MP: Szerver bemutatása => Archívum => A témát indította: Yeaseiro - 2011. március 07. - 06:41:28
-
Elnézést de egy hosszú leírást fogok írni :D
A témát zárom. Ugyanis a weboldal készülõben és a scriptelést félbehagytam!
-
Sok sikert, jó sok munkád lesz! ;)
WTFLV-n a /hazkilep paranccsal tudsz kimenni :)
De az \"újratöltve\" az az én szövegem! :D
-
Nem úgyérve hanem valaki DM-elt. Nem tom hogy hívták de felmásztam a tetõre majd kiléptem és a bicajom a ház közepén maradt ahogy én is :-X Nem interiorra gondoltam mert az interiorid = 0-val
Amúgy kösz és sorry :D
-
ja jó majd kiteleportállak onnan :)
de ha ennyi munka lesz akkor ez nagyon soká fog indulni
de majd ha nembaj fogom nézni a fejlesztéseket a háziszeródon ;)
-
Nem hinném hogy felfogok már menni. De a munka megteremti gyümölcsét, és az idõ nem számít :D
És a háziszeró levan zárva. Szerintem akkor lesz felnyitva mikor tesztalanyt keresek :)
-
Sok sikert,de neked ez a könnyen felhackelik a mániád,ha rendesen meg van csinálva akkor nem hackelik fel,ez nem mindennapos dolog,és jelszavakat is több féle módon lehet titkosítani nem csak a md5 létezik...
Te szerintem az ún. MySql injekciókra gondolsz,amikor az adatbeviteli mezõ hiányos biztonsági tulajdonságokkal van ellátva vagy egy-egy oldalon nem megfelelõ az ellenõrzés,de ezeket is nagyon könnyen ki lehet csiszolni aztán törjék fel,lásd:SMF
Csak érteni kell hozzá és sokat tesztelni,pl. te már láttál SMFet feltörni?Ha láttál is,hányat?Ingyenes tárhelyen? Ugyan már,erre a hostok nagyon figyelnek,ezért nagyban függ a szolgáltatódtól is a dolog.Pl. egy fizetõs tárhelyen nem nagyon lehet gond.(Mint a mienkén) Na,röviden hogy milyen gyengeségek lehetnek és hogy hogyan lehet õket javítani:
- MySql injekciók
Egyszerûen alkalmazod az addslashes() php függvényt a karakterláncon,és nem a rövid változót,hanem a közepes típust használod.($szoveg = $_POST[\'szoveg\']; )
-Hiányos adat ellenörzések
Minden oldalon megvizsgálod a felhasználót és megtudod kicsoda,ha nem kívánt személy akkor kidobod,ha egy olyan oldalon jár amit nem láthat akkor ott a jó öreg exit() vayg die() függvény.(Szintén php) Ezt még lehetne taglalni,de sok problémát megoldunk ha az \"allow_url_fopen\" a php.ini fájlban 0ra van állítva,ami szinte minden szolgáltatónál igaz.
-Hamis lekérdezések
Ezen azt értem,amikor valaki egy saját php lapján lévõ kódot futat le a te oldaladon,mintha azt egy ottani felhasználó idézte volna elõ,ezt nagyon könnyû ellenõrizni,egyszerûen megnézed,hogy honan származik a lekérés.(Mert erre is van lehetõség)
-Jelszó törõ programok és robotok
Egyszerûen korlátozni kell a max. bejelentkezési lehetõségek számát, aztán megjeleníteni egy ilyen \"írd be ami a képen van\" cucot és probléma megoldva.
-DoS és DDoS
Ezt a szolgáltató megoldja,ha rendes helynél vagy.
-Különleges összezavaró dzsóker karakterek,HTML és php kódok ûrlapokban
Egyszerûen eltávolítjuk õket,van rá megfelelõ függvénye a php-nek.(PHP: htmlspecialchars() )
-Sütik
Egy rosszindulatú felhasználó átírhatja õket,hogy az alkalmazásunk másnak hidje õt,de ezt egy kis fantáziával egyszerûen kivédhetjük,pl. 2 sütit csinálunk,az egyikben a sima értékek,másikban meg a titkosított értéket,így már könnyen ellenõrizhetjük a felhasználót,vagy egyszerûen ne használjunk sütiket.
A $_SERVER tömb
Ki gondolná?De ha ellenõrzésünk alatt tarjuk nem lehet baj,viszont csúnya dolgokat lehet vele csinálni.
E-mail injection
Sok helyen vannak ûrlapok,ahol lehet nekünk üzenetet küldeni.De tényleg csak nekünk?Íme a mail függvény: mail(címzett, téma, szöveg, egyéb headerek, egyéb kapcsolók) mi van,ha valaki a feladó helyére (Egyéb headerek) berak egy másik kulcsszót is,amivel elküldi nekünk pár szár milliószor ugyan azt a levelet?Nem lennénk happyk ugye?Egyszerûen ezt is szûrni kell
Asszem nem hagytam ki semmit,na ha ezeket megcsinálod,akkor kiváncsi lennék hogy minimum 3 diploma nélkül hogyan tör fel valaki bármit is.
-
Te aztán rá érték!! :o
Amúgy nekem nincs gondom a jelszavakkal és a titkosításokkal csak az hogy én beírom hogy valami.hu/config.cfg akkor az IE automatikusan letölti a fájlt... html-nél beválik. php-nál nem tudom...
Másik hogy az UCP még ráér :D de szerintem inkább nem lesz... ::|
-
Te aztán rá érték!! :o
Amúgy nekem nincs gondom a jelszavakkal és a titkosításokkal csak az hogy én beírom hogy valami.hu/config.cfg akkor az IE automatikusan letölti a fájlt... html-nél beválik. php-nál nem tudom...
Másik hogy az UCP még ráér :D de szerintem inkább nem lesz... ::|
php-nál nem :D Nincs olyan böngészõ,ami képes php kódot megjeleníteni,mivel semmiképpen sem fér hozzá.A HTML kódal max az oldal kinézetének a forrását láthatják.(CSShez is hozzáférnek)
A php-t a kiszolgáló szerverén lévõ php motor értelmezi,és az így kapott értékeket küldi vissza HTML kinézetben és a címsorban.A böngészõ nem kap php kódot. :)
És ehez nem kellet ráérnem,ez ~5 perc volt,ezeket fontos tudni amikor php alkalmazást fejlesztesz :)
Különben,ha a kiszolgáló nem engedi,akkor nem tudsz letölteni fájlokat.A jogosultságokkal kell babrálni.
-
hahh.... nah errõl se tudtam de az UCP még késõbb lesz...
De az a kérdés hogy csatlakoztassam rá a weboldalra? XD
Egy hostingon sincs adatbázis elérés :-X
-
skyhostingnál van
-
LOL, az addig oké de mire kész lesz a mód addigra változhat a helyzet... gondolom én
-
Különben ha beírod a googleba hogy free sql database akkor kiad pár ezer találatot,valamejiknél regizel,és arra csatlakozol a weblapról és a szerverrõl is,mondjuk ehez a weben kell legyen távoli sql kapcsolat lehetõség.
-
*hah*
Találtam is egy jó tárhelyet de inkább ez felesleges... MÉG!!
Am Chuck egy kis j,ly hiba bár mindenki hibázhat még én is :)
Am nem baj hogy ebbe a témába az összes fejlesztés és hasonlóságokat beleírom?
Nem akarok karakterkódolással foglalkozni :-X
-
A fórum szabályzat szerint tilos a szerverrel kapcsolatos témába a szerverrel kapcsolatos újításokat írni :D
Persze h írhatod ide :)