Szerző Téma: [MYSQL] UCP / WEBOLDAL v0.1 (Megtekintve 10912 alkalommal)

TheClauss · « **Válasz #30 Dátum:** 2013. május 22. - 22:16:31 »

Lenne 1-2 szakmai észrevételem ha megengeded.
Nagyon sok helyen látom ezt:

\"...= \'$_SERVER[REMOTE_ADDR]\' WHE...\"

Ilyen formát nem szoktunk használni. Helyette:

\"...= \'\".$_SERVER[\'REMOTE_ADDR\'].\"\' WHE...\"

Ez a kód idõtállósága miatt fontos. Az elõbbi kódrészlet hivatalosan nincsen, és bár még (ebben a verzióban) mûködik, nem tudjuk meddig.
Ez minden asszociatív (nem számmal indexelt) tömbnél fontos. Nincs $tomb[elem] csak $tomb[\"elem\"] vagy $tomb[\'elem\'].

Még egy idõtállósági dolog (Kis biztonság is) . Ilyen MySql függvényeket nem használunk. Igen, régen csak ez volt és rengeteg minden ezzel van írva, de újabb fejlesztéseknél messzire elkerüljük. A jelenlegi stabil php verzió az 5.4 , ezek a MySql függvények amiktõl hemzseg a kód, a php 5.5-ben már hibaüzeneteket fognak dobni, (régi függvény, kéri hogy használj mást) a jövõben meg teljesen ki lesznek iktatva. Ajánlom: MySqli,PDO (Személy szerint a PDO-t preferálom, illetve nézz utána az elõkészített lekérdezéseknek, PDO és MySqli is támogatja.) A szimpla MySql függvények lecserélése a biztonsági kérdéseket is megvariálja. A mysql_query függvény nem tud egyszerre több parancsot végrehajtani (Pl. nem tudsz egyszerre kiválasztani értékeket és törölni valamit egy lekérdezésben, tárolt eljárások nélkül). A PDO/MySqli viszont igen, ezért azok veszélyesebbek. Természetesen erre is van megoldás. (Elõkészített lekérdezések)

Admin függvények egyáltalán nincsenek szûrve. Ez végzetes hiba. Egy laikus/\"bosszúvágyú\" admin bármit megtehet, ha pedig olyan is hozzáférhet a panelhez adminként aki egyébként a szerveren/egyéb helyen nem rendelkezik jogokkal akkor az kellemetlen. Igaz, amíg van mysql_query ami csak 1 lekérdezést küld kicsit nehezebb dolga van (nem töröl instant adatbázist), de tényleg nem kéne ennek a függvénynek ezt a hátrányát biztonsági elõnyként kezelni, pl. lekérések feltételeit meg lehet kerülni könnyedén.

Sok kimeneti hibaüzenet szintén nincsen ellátva szûréssel, így azokba gyilkos JavaScript kódokat lehet injectelni.

echo \"<div class=\'msgbox\'>$_GET[msg]</div>\";

http://www.php.net/manual/en/function.strip-tags.php
http://php.net/manual/en/function.htmlspecialchars.php
http://www.php.net/manual/en/function.htmlentities.php
Ezzel az ügyeskedéssel a weblapot nem lehet feltörni. Vagyis önmagában nem. Ezzel a módszerrel felhasználókat lehet lopni, anélkül hogy szerencsétlen xy egyáltalán ezt észlelné. (Természetesen nem fejtem ki

) Pontosítok. Csak (bejelentkezett) admin felhasználókat lehet lopni vele. Az admin felületrõl már beszéltünk. Nem egyszerû ezt sem megcsinálni, de meg lehet.

                  if(file_exists(\"pages/$_GET[p].php\"))
            {
               require(\"pages/$_GET[p].php\");
            }

Kritikus php/szerver sebezhetõségi hiba, beállításoktól függõen. Ezzel a módszerrel tulajdonképpen bármilyen fájlt be tudok ágyazni illetve lefuttatni a php motor segítségével. Mint említettem, ezzel a php.ini-tõl függõen még akár helyben beinjectelhetem magát a php-t és helyben módosíthatom a forrást. (Vagy azt csinálok vele amit akarok) Miután azt futtatok amit akarok, adatbázisom is van. Igen, ott van hogy \"pages/\" az elején illetve a \".php\" a végén, de ezek lényegtelen információk amiket csupán az url-hez fûzött összesen 6 karakterrel el is távolítottam, onnantól meg csak a szûretlen változó van. A file_exists csak azt nézi létezik-e a fájl. Nem érdekli hogy hol van. Ha túl nagy jogköre lenne a szerveren ennek az oldalnak akkor már a szervert lehetne kóstolgatni, onnan meg hátulról minden mást ami rajta van. (Pl. ha nem rendesen beállított hostolt környezetben fut az oldal.) Ez a sebezhetõség függ a php verziójától is. 5.3.4 elõtt azt hiszem veszélyesebb volt, a frissebb php-k mintha már figyelnek a kiterjesztés eltüntetésére, de még sok helyen van 5.3.3 sõt még 5.2 is. Igazából azt se szeretnéd ha bármely php fájl ami csak megtetszene beágyaznék.
Ajánlom hogy reguláris kifejezésekkel távolíts el a változóból mindent ami nem betû,esetleg szám.
Egy tömbben tárolhatod hogy milyen oldalak vannak (http://php.net/manual/en/function.scandir.php) és ha nem szerepel a tömbben a változó akkor ne jelenítsd meg az oldalt.
Stb...

Regisztrációnál nem ellenõrzöd az E-Mail cím valódiságát. Simán lehet tolni egy \"a@a\" semmiséggel egy felhasználót, ha rászánnék egy percet bármilyen más karakterlánccal is. A kliens oldali HTML5(ami nálad van)/JavaScript ellenõrzés nem valódi ellenõrzés.
Felhasználónév és jelszó hosszát ajánlom korlátozni. (Minimum/maximum)
Felhasználónévbe írható karaktereket ajánlom leszûkíteni betûkre/számokra.

Egy kis adatbázis tervezési észrevétel. Azoktól a nagybetûktõl az oszlop nevek nagyon menõn néznek ki meg minden. Kár hogy Windows/Linux kompatibilitási gondot okozhatnak.

Csak belenéztem a kódba, ezeket nem feltétlenül azért írtam hogy most azonnal javíts/írj át mindent vagy ilyesmi,ócsárolni sem volt szándékom, csupán szerintem ezeket a dolgokat hasznos tudni a jövõbeli projektjeid tervezésénél.

b1s · « **Válasz #31 Dátum:** 2013. május 29. - 20:13:27 »

Idézetet írta: TheClauss date=1369253791\" data-ipsquote-contentapp=\"forums\" data-ipsquote-contenttype=\"forums\" data-ipsquote-contentid=\"37287\" data-ipsquote-contentclass=\"forums_Topic

Lenne 1-2 szakmai észrevételem ha megengeded.
Nagyon sok helyen látom ezt:
\"...= \'$_SERVER[REMOTE_ADDR]\' WHE...\"
Ilyen formát nem szoktunk használni. Helyette:
\"...= \'\".$_SERVER[\'REMOTE_ADDR\'].\"\' WHE...\"
Ez a kód idõtállósága miatt fontos. Az elõbbi kódrészlet hivatalosan nincsen, és bár még (ebben a verzióban) mûködik, nem tudjuk meddig.
Ez minden asszociatív (nem számmal indexelt) tömbnél fontos. Nincs $tomb[elem] csak $tomb[\"elem\"] vagy $tomb[\'elem\'].

Még egy idõtállósági dolog (Kis biztonság is) . Ilyen MySql függvényeket nem használunk. Igen, régen csak ez volt és rengeteg minden ezzel van írva, de újabb fejlesztéseknél messzire elkerüljük. A jelenlegi stabil php verzió az 5.4 , ezek a MySql függvények amiktõl hemzseg a kód, a php 5.5-ben már hibaüzeneteket fognak dobni, (régi függvény, kéri hogy használj mást) a jövõben meg teljesen ki lesznek iktatva. Ajánlom: MySqli,PDO (Személy szerint a PDO-t preferálom, illetve nézz utána az elõkészített lekérdezéseknek, PDO és MySqli is támogatja.) A szimpla MySql függvények lecserélése a biztonsági kérdéseket is megvariálja. A mysql_query függvény nem tud egyszerre több parancsot végrehajtani (Pl. nem tudsz egyszerre kiválasztani értékeket és törölni valamit egy lekérdezésben, tárolt eljárások nélkül). A PDO/MySqli viszont igen, ezért azok veszélyesebbek. Természetesen erre is van megoldás. (Elõkészített lekérdezések)

Admin függvények egyáltalán nincsenek szûrve. Ez végzetes hiba. Egy laikus/\"bosszúvágyú\" admin bármit megtehet, ha pedig olyan is hozzáférhet a panelhez adminként aki egyébként a szerveren/egyéb helyen nem rendelkezik jogokkal akkor az kellemetlen. Igaz, amíg van mysql_query ami csak 1 lekérdezést küld kicsit nehezebb dolga van (nem töröl instant adatbázist), de tényleg nem kéne ennek a függvénynek ezt a hátrányát biztonsági elõnyként kezelni, pl. lekérések feltételeit meg lehet kerülni könnyedén.

Sok kimeneti hibaüzenet szintén nincsen ellátva szûréssel, így azokba gyilkos JavaScript kódokat lehet injectelni.
echo \"<div class=\'msgbox\'>$_GET[msg]</div>\";
http://www.php.net/manual/en/function.strip-tags.php
http://php.net/manual/en/function.htmlspecialchars.php
http://www.php.net/manual/en/function.htmlentities.php
Ezzel az ügyeskedéssel a weblapot nem lehet feltörni. Vagyis önmagában nem. Ezzel a módszerrel felhasználókat lehet lopni, anélkül hogy szerencsétlen xy egyáltalán ezt észlelné. (Természetesen nem fejtem ki ) Pontosítok. Csak (bejelentkezett) admin felhasználókat lehet lopni vele. Az admin felületrõl már beszéltünk. Nem egyszerû ezt sem megcsinálni, de meg lehet.
                  if(file_exists(\"pages/$_GET[p].php\"))
            {
               require(\"pages/$_GET[p].php\");
            }
Kritikus php/szerver sebezhetõségi hiba, beállításoktól függõen. Ezzel a módszerrel tulajdonképpen bármilyen fájlt be tudok ágyazni illetve lefuttatni a php motor segítségével. Mint említettem, ezzel a php.ini-tõl függõen még akár helyben beinjectelhetem magát a php-t és helyben módosíthatom a forrást. (Vagy azt csinálok vele amit akarok) Miután azt futtatok amit akarok, adatbázisom is van. Igen, ott van hogy \"pages/\" az elején illetve a \".php\" a végén, de ezek lényegtelen információk amiket csupán az url-hez fûzött összesen 6 karakterrel el is távolítottam, onnantól meg csak a szûretlen változó van. A file_exists csak azt nézi létezik-e a fájl. Nem érdekli hogy hol van. Ha túl nagy jogköre lenne a szerveren ennek az oldalnak akkor már a szervert lehetne kóstolgatni, onnan meg hátulról minden mást ami rajta van. (Pl. ha nem rendesen beállított hostolt környezetben fut az oldal.) Ez a sebezhetõség függ a php verziójától is. 5.3.4 elõtt azt hiszem veszélyesebb volt, a frissebb php-k mintha már figyelnek a kiterjesztés eltüntetésére, de még sok helyen van 5.3.3 sõt még 5.2 is. Igazából azt se szeretnéd ha bármely php fájl ami csak megtetszene beágyaznék.
Ajánlom hogy reguláris kifejezésekkel távolíts el a változóból mindent ami nem betû,esetleg szám.
Egy tömbben tárolhatod hogy milyen oldalak vannak (http://php.net/manual/en/function.scandir.php) és ha nem szerepel a tömbben a változó akkor ne jelenítsd meg az oldalt.
Stb...

Regisztrációnál nem ellenõrzöd az E-Mail cím valódiságát. Simán lehet tolni egy \"a@a\" semmiséggel egy felhasználót, ha rászánnék egy percet bármilyen más karakterlánccal is. A kliens oldali HTML5(ami nálad van)/JavaScript ellenõrzés nem valódi ellenõrzés.
Felhasználónév és jelszó hosszát ajánlom korlátozni. (Minimum/maximum)
Felhasználónévbe írható karaktereket ajánlom leszûkíteni betûkre/számokra.

Egy kis adatbázis tervezési észrevétel. Azoktól a nagybetûktõl az oszlop nevek nagyon menõn néznek ki meg minden. Kár hogy Windows/Linux kompatibilitási gondot okozhatnak.

Csak belenéztem a kódba, ezeket nem feltétlenül azért írtam hogy most azonnal javíts/írj át mindent vagy ilyesmi,ócsárolni sem volt szándékom, csupán szerintem ezeket a dolgokat hasznos tudni a jövõbeli projektjeid tervezésénél.

Üdv!
Köszönöm a normális hangvételû hozzászólásod, egyáltalán nem vettem ócsárlásnak, vagy ilyesminek, igazad van. Az általad említett hibákat a következõ verzióban javítani fogom.

instant · « **Válasz #32 Dátum:** 2013. június 02. - 16:18:04 »

1 kérdés, a web_users-t ki szabad cserélni hogy a saját szerveren lévõ Játékosok adatait mutassa?
E: Megoldva..

Ha beregisztrálok azt elfogadja de amikor be akarok jelentkezni akkor azt írja : Nem létezik ilyen felhasználó név , miért?

Rupert · « **Válasz #33 Dátum:** 2013. június 12. - 12:31:26 »

És még csak most látom ezt elõször... örülök hogy Malibunál vagy, aranypofa. ; ) < 3

kamionos · « **Válasz #34 Dátum:** 2013. július 05. - 03:21:34 »

Hálám üldözzön!!!:)

mototiger · « **Válasz #35 Dátum:** 2013. július 10. - 02:49:37 »

A design nem rossz választás, viszont az oldal felépítését tekintve tényleg nem 100-as (Ne vedd bántásnak).
Ha van kedved és idõd ajánlom a mysqli használatát, mert sokkal gyorsabb, object orientált és támogatás is van rá, ellentétben a sima mysql-el függvénykönyvtárral.
session_start()-ot pedig mindig a forráskód elsõ sorában, vagy legalább is az elején használjuk elkerülendõ az esetleges hibákat.
Ha elnyeletést használsz (ob_start()-ot), akkor zárd is le ob_end_flush() függvénnyel.

nhunor58

Bocs,hogy újra életet leheltem e topicba de én ha regizek,amikor nem hoz létre egy accountot!

martinokok02

Szép lett Grat.

vortexY

Ment a :thumbsup:

Szuper :yes:

Lester

Azosztigen!

Szép munka!

Gratula!

almasiweb · « **Válasz #40 Dátum:** 2014. január 22. - 19:56:37 »

Regeltem, de nem hoz létre felhasználót....Annak ellenére jó

ᵀᴴᴱ ᴼᴿᴵᴳᴵᴻᴬᴸ D · « **Válasz #41 Dátum:** 2014. január 26. - 06:24:25 »

Nagyon, de nagyon szép munka.Gondolom, nemvagy már kezdõ ebben...le a kalappal.

Mr_Jack

Idézetet írta: krook date=1368377518\" data-ipsquote-contentapp=\"forums\" data-ipsquote-contenttype=\"forums\" data-ipsquote-contentid=\"37287\" data-ipsquote-contentclass=\"forums_Topic

website v0.1

Elkészítettem egy weboldalt, amit publikálásra szántam.. Íme hát itt van!
Spoiler for Képek:
$\"width=500$ http://s1.postimg.org/lt5oa1on3/web_146.png[/img]

$\"width=500$ http://s1.postimg.org/skw3cwdmn/web_148.png[/img]

$\"width=500$ http://s1.postimg.org/7cievgz5r/web_149.png[/img]

$\"width=500$ http://s1.postimg.org/4wglhmh33/web_150.png[/img]

$\"width=500$ http://s1.postimg.org/hcdbbdaf3/web_151.png[/img]

$\"width=500$ http://s1.postimg.org/7ggtpgu0v/web_152.png[/img]

$\"width=500$ http://s1.postimg.org/m0xwkaozj/web_153.png[/img]

$\"width=500$ http://s1.postimg.org/52yvygflr/web_155.png[/img]

$\"width=500$ http://s1.postimg.org/g3u13h7un/web_156.png[/img]

$\"width=500$ http://s1.postimg.org/s6zcr1iwv/web_157.png[/img]

$\"width=500$ http://s1.postimg.org/ooncuni0v/web_158.png[/img]

$\"width=500$ http://s1.postimg.org/6n47wunzz/web_159.png[/img]

$\"width=500$ http://s1.postimg.org/iq9jkez27/web_160.png[/img]

$\"width=500$ http://s1.postimg.org/605b7br3z/web_161.png[/img]
Spoiler for Képek (KÓD):
http://s1.postimg.org/lt5oa1on3/web_146.png
http://s1.postimg.org/skw3cwdmn/web_148.png
http://s1.postimg.org/7cievgz5r/web_149.png
http://s1.postimg.org/4wglhmh33/web_150.png
http://s1.postimg.org/hcdbbdaf3/web_151.png
http://s1.postimg.org/7ggtpgu0v/web_152.png
http://s1.postimg.org/m0xwkaozj/web_153.png
http://s1.postimg.org/52yvygflr/web_155.png
http://s1.postimg.org/g3u13h7un/web_156.png
http://s1.postimg.org/s6zcr1iwv/web_157.png
http://s1.postimg.org/ooncuni0v/web_158.png
http://s1.postimg.org/6n47wunzz/web_159.png
http://s1.postimg.org/iq9jkez27/web_160.png
http://s1.postimg.org/605b7br3z/web_161.png
Amit tartalmaz

> Regisztráció / Bejelentkezés rendszer

> Profil

> Admin panel

> Hírek adminisztrálása

> Kitiltások kezelése

> Tulajdonosoknak admin adás menüpont

> Szerver mutató

> Csapat oldal

> Userbar

Felhasznált dolgok

> SA-MPQuery API

Letöltés

web.zip

web.rar

webpage.sql
Spoiler for SQL struktúra:
/*      Hírek      */
CREATE TABLE IF NOT EXISTS `web_news` (
  `ID` int(10) unsigned NOT NULL AUTO_INCREMENT,
  `TITLE` text COLLATE utf8_hungarian_ci NOT NULL,
  `CONTENT` text COLLATE utf8_hungarian_ci NOT NULL,
  `ADDED` text COLLATE utf8_hungarian_ci NOT NULL,
  `DATE` int(40) NOT NULL,
  PRIMARY KEY (`ID`)
) ENGINE=InnoDB  DEFAULT CHARSET=utf8 COLLATE=utf8_hungarian_ci AUTO_INCREMENT=1 ;
/*   Felhasználók   */
CREATE TABLE IF NOT EXISTS `web_users` (
  `ID` int(10) unsigned NOT NULL AUTO_INCREMENT,
  `NAME` text COLLATE utf8_hungarian_ci NOT NULL,
  `PASS` text COLLATE utf8_hungarian_ci NOT NULL,
  `IP` varchar(20) COLLATE utf8_hungarian_ci NOT NULL DEFAULT \'0.0.0.0\',
  `GROUP` int(2) NOT NULL DEFAULT \'0\',
  `MONEY` int(90) NOT NULL DEFAULT \'0\',
  `KILLS` int(90) NOT NULL DEFAULT \'0\',
  `DEATHS` int(90) NOT NULL DEFAULT \'0\',
  `SCORE` int(90) NOT NULL,
  `EMAIL` text COLLATE utf8_hungarian_ci NOT NULL,
  `REGDATE` int(90) NOT NULL,
  `LASTONLINE` int(90) NOT NULL,
  `BANNED` int(1) NOT NULL DEFAULT \'0\',
  PRIMARY KEY (`ID`)
) ENGINE=InnoDB  DEFAULT CHARSET=utf8 COLLATE=utf8_hungarian_ci AUTO_INCREMENT=1 ;
 
[/spoiler

krook,le a kalappal elõtted!

blackdog476

Fel a kalappal!

:wall:

Amúgy jó lett grat

Mr_Jack, tudtommal régi témákhoz nem-igen kéne hozzászólni nem? :unsure:

FONTOS!!
Akármilyen szép és jó, azért hiba az még van benne.. Próbáltad úgy letesztelni krook, hogy a settings.php-ben másik adatbázisnevet adsz meg? Hm, ugyanis a func.php-ben a regisztrációnál nem a settings.phpbõl importálja be a beállítást :confused:


function Register($user2, $pass2, $mail2) {
mysql_query(\"SET NAMES UTF8\");
$user = mysql_real_escape_string($user2);
$pass = sha1(mysql_real_escape_string($pass2));
$mail = mysql_real_escape_string($mail2);
$time = time();
$vane = mysql_num_rows(mysql_query(\"SELECT * FROM web_users WHERE NAME = \'$user\'\"));
if($vane == 0 && !empty($user2) && !empty($pass2) && !empty($mail2) ) {
   mysql_query(\"INSERT INTO `krukveb`.`web_users` (`ID`, `NAME`, `PASS`, `IP`, `GROUP`, `MONEY`, `KILLS`, `DEATHS`, `SCORE`, `EMAIL`, `REGDATE`, `LASTONLINE`, `BANNED`) VALUES (NULL, \'$user\', \'$pass\', \'$_SERVER[REMOTE_ADDR]\', \'0\', \'0\', \'0\', \'0\', 0, \'$mail\', \'$time\', \'$time\', 0);\");
   //mail($mail, \"Üdvözöllek!\", \"Szia $user!\\nEzt a mailt azért kapod mert regisztráltál a szerverre!\\n\\nNév: $user\\nÜdvözlettel: Valaki\"); # Ha támogatja az email küldést a szolgáltatód akkor vedd ki a //-t
   echo \'Sikeres regisztráció! Mostmár bejelentkezhetsz!\';
}
else {
   echo \'Valami üresen maradt, vagy már létezik a felhasználónév!\';
}
}

A querynél van, én most csak simán átállítottam, de oda php kéne :/

« Utoljára szerkesztve: 2014. augusztus 10. - 10:20:17 írta Nukerdog »

Naplózva