Простота и безопасность

///На простом движке к примеру никто не станет е-шоп делать по тому, что там защиты практически никакой небудет ///
На чём основывается это ваше утверждение? На сколько я понимаю - высокая безопасность и простота движка СиМС совершенно не связанные вещи.

Нужно прежде всего выяснить, КАК взламывают сайты.
1. Сосед, приятель, любовница узнали, подсмотрели, выпытали пароль.
2. Взломали через дыры в коде.
Первый момент не рассматриваем.
А вот во втором, чем меньше кода (а значит возможностей), тем меньше шансов, что тебя взломают.
В идеале - закачка файлов по ФТП, ничего из форм скриптами не обрабатывать.
Хрен взломаешь. Если только пароль не подберешь ...

Так и я про тоже.

Чёт вы оба не понимаете проблематику защиты и надёжности сайта.
Дело не только во взломе или подсмотрел кто.
Есть дела и посерьёзней чем подглядывать.
Любой самодельнфый блог или гостевую, которую делали не профессионалы
можно полностью положить одной маленькой строчкой кода даже из ява-скрипта.

Эт смотря какого кода.
если не поставить на форуме фильтр для скриптов в содержании,
то не исключено, что "шутник" какой-нибудь чего-нибудь весёлого туда напишет и потом можно полностью всё занова делать.
Так что не от колличества кода, а от его качества и целей зависит надёжность.

///Любой самодельнфый блог или гостевую, которую делали не профессионалы ///
Ну делал я их штук 10 пока не перешёл на СиМС.
Никто ничего взломать не мог. Просто нужно изначально иметь образование и понимать методы взлома. С любой СиМС можно передрать готовую защиту от того что вы пишите. Там 5- 10 строк кода. Можно написать самому. Но зачем?
Даже уже на этом форуме был один деятель который сразу лез ломать ваши сайты, а потом присылал предложение об исправлении.
И вся его гениальность была в том, что он засовывал непонятно от куда взятый зашифрованный пароль в программу и она через неделю подбора (в случае лёгкого пароля) выдавала пароль.
Странно что я опять повёлся на вашу необразованность.
Хотя тема меня интересует давно.

Милторг!
Ты случайно не помнишь кино, где один мужик другому говорит:
- ты лучше помолчи, будешь умнее выглядеть
Если не смотрел, то обязательно посмотри и всегда держи в памчти этот момент

Просто нужно от нечего делать и без какого либо образования
немного подумать как можно сайт не взломать, а просто завалить.

У меня 40 сайтов. Завалите - взломайте любой. Я обещаю что не буду уголовно преследовать вас за это деяние - хоть это и наказуемо

Милторг, речь идёт сейчас не о твоих сайтах,
а в общем о самодельных движках, которые не имеют элементарной защиты.
Если ты это предусмотрел, то молодец. Если ещё нет, то подумай как это сделать.
А так мне есть чем заняться.

Сделанных необразованными юзерами от табуретки.
Так таким даже супер-пепер защищённые движки не помогут.

Положить - это очень громко сказано, XSS это невинное развлечение скрипт-кидди. С сайтом ничего не случается, только у посетителей проблемы, а правятся подобного рода косяки элементарно.
И далеко не любой сайт не фильтрует показывая написанное, поэтому надо ещё поискать такие сайты.

Отсутствие фильтрации приводит только к проблемному отображению у других посетителей, на самом сервере файлы при этом не стираются.

Скорее ты. ) Защита, это не навесные замки, которых чем больше, тем лучше, защита, это правильное программирование, которое не позволит злоумышленнику вставить нефильтрованный ввод, сделать SQL-инъекцию, запустить код на сервере, поэтому тебе совершенно правильно пишут - чем система сложнее, тем выше вероятность того, что где-то допущена ошибка и есть проблема с безопасностью.

А вот и не правда. Мы начали общение с тобой с того, что я заявил, что постньюк - дырявое говно, а когда ты не поверил, я нашёл способ сделать SQL-инъекцию и получить содержимое таблицы юзеров, откуда достал MD5 хэши паролей, после чего недели две брутфорсил их используя Rainbow-таблицы. В результате сбрутфорсился пароль администратора, после чего я вместо того, чтобы на форуме его запостить, отписал тебе, ты оперативно сменил пароли и заявил всем, что ничего и не было. )

Так это был ты!!! А я то думаю за чё я к тебе плохо отношусь.
А чё больше так не делаешь?

Ну хорошего тоже мало от этого.
да и таблицы тоже можно наполнять содержанием или спамить.

Я в этом и не сомневаюсь.
По этому я использую уже готовые и проверенные CMS.
Пусть не идеальные, но уже провереные

Возни бывает много, а интереса и смысла нет никакого.

А бомбили другой, мой самописный сайт. Вы не боитесь уголовных преследований? Ведь IP остаётся.

Милторг!
А ты пообещал никого не трогать
Это есть в письменном виде здесь :-)

Нет, ты ошибаешься, или уже не про меня речь. Я сломал именно постньюк, я это хорошо помню, т.к. он был камнем преткновения.

Ну да, остаётся, чей-то.

Я и тогда вам про это писал. Что переустановка любого сайта у меня занимает от 3 до 15 мин. И что информации важной там никакой. А вы лезли и ломали. А у своих клиентов через годик тоже начинаете сайты ломать?

Я это обещал вам. Так как уверен в нашей неспособности
Есть куча неведомых вам методов которыми можно навредить мне. Но к безопасности это не имеет никакого отношения

У которых время от времени находят дыры. Информация о которыx попадает в свободный доступ только через несколько месяцев использования.

Во блин.
Вот я и думаю, нафига мне БД? Может всё держать в текстовых файлах? А админскую инфу в каталоге cgi-bin.
А что вообще делать, чтобы не вкололи SQL-инъекцию?

то есть вы достали у меня хешный пароль и засунули его в прогу по подбору паролей и взломали мой сайт? Подтвердите это пожалуйста.

Не передёргивай. Я не "лез и ломал", я всего лишь доказал, что ты неправ. Мы поспорили о том, что постньюк дырявый. Ты самоуверено писал, что там нет проблем никаких, как Вован сейчас пишет про свою цмс, а я писал, что ты неправ и там есть проблемы.

У вас какое образование?

И Вы ещё так и не поняли???
Дело не в информации, а в принципе.
Ты "солидный мужчина с высшим образованием" и на каждом углу орёшь об этом,
А толку с твоего образования может на пузырь барматухи и не больше.
А voxel3d (я без понятия какое у него образование) но опыт у него по сравнению с твоим
Если он совет даёт, то это действительно полезный совет, особенно по системным вопросам,
а не тупые дисскуссии как это с тобой всегда получается

Вы "украли" доказывая что дверь можно взломать.

Неоконченное среднее.

Всё helper2008 влип ты и в немилость самого Милторга попал раз он у тебя за образование спрашивать начал

В общем, свой Perl (PHP) код намного лучше.

Мне кажется, поздновато подавать заявление, сколько лет прошло, семь? В любом случае удачи, с любопытством буду наблюдать развитие событий. )

Базы данных создавались именно из текстовых файлов. Зачем вам делать тележку если вы намерены участвовать в гонках на машинах?
Хотя.. Может вы думаете про гонки на тележках.
Учите матчасть

Это вне всяких сомнений.
Просто иногда проще или быстрее получается чужие решения использовать.

Приведите статистику по производительности любой релятивной базы данных (хоть тот же MySQL) и базы данных на текстовых файлах.
На любой нагрузке и любого объёма.

Проще, но опаснее.
Мы так то за безопасность сейчас говорим.

Не собираюсь. Я прорабатывал этот вопрос в 2004 году. Если вам это интересно - приводите. Почитаю с удовольствием

И как оно было, в 2004 году?
Неужели разница в производительности была как разница в скорости между Ф1 и садовой тачкой?

Правда? Не знал! Что у тебя украли, расскажи?

И я тоже про это.
Как я уже писал, одной строчкой можно "заставить" сайт делать интересные и действующие на нервы вещи.
Я вот сейчас ради прикола знаки посчитал в строчке, которая закрывает окошко браузера сразу после старта.
Всего 36 знаков, даже не полноценный скрипт, а просто одна комманда. А есть и вещи посерьёзней.
А более распространнённые CMS уже имеют большую защиту от мелких шалостей.
Правда на все случаи нет идеальной защиты, но серьёзный сайт я бы не стал на непроверенном движке делать.
Хотя все эти фильры не так уж и сложно делать,
просто не каждый думает о их необходимости пока жареный петух в попу не клюнет
Пусть как voxel3d писал, на сервере или в БД это сделать сложнее, но тоже возможно.
Другой вопрос ,есть ли в этом необходимость или смысл

Ознакомиться с предметом и не передавать нефильтрованный ввод в запросы, там ничего сложного нет.

Выборки без SQL делать не удобно будет в общем случае. Это как-никак язык заточенный под задачу.

Пароль. Он был одинаков на многих сайтах. Мне пришлось заново проделать работу по замене паролей.

И куда ты будешь её вставлять, если нет никаких форм?
А если обрабатывать регекспами приходящие данные, то и через формы хрен чего пройдёт.

Интересно, какие знаки в запросе надо резать, чтоб наверняка не взломали?

Нет ничего серьёзней форматирования - но попробуйте запустить эту простую команду

Далёкий 2003:
// запрет тегов переданных методом Get, а чё Post-том можно?
foreach ($_GET as $sec_key => $secvalue) {
if ((eregi("<[^>]*script*\"?[^>]*>", $secvalue)) ||
(eregi("<[^>]*object*\"?[^>]*>", $secvalue)) ||
(eregi("<[^>]*iframe*\"?[^>]*>", $secvalue)) ||
(eregi("<[^>]*applet*\"?[^>]*>", $secvalue)) ||
(eregi("<[^>]*meta*\"?[^>]*>", $secvalue)) ||
(eregi("<[^>]*style*\"?[^>]*>", $secvalue)) ||
(eregi("<[^>]*form*\"?[^>]*>", $secvalue)) ||
(eregi("<[^>]*img*\"?[^>]*>", $secvalue)) ||
(eregi("<[^>]*over*\"?[^>]*>", $secvalue)) ||
(eregi("\([^>]*\"?[^)]*\)", $secvalue)) ||
(eregi("\"", $secvalue)) ||
(eregi("forum_admin", $sec_key)) ||
(eregi("inside_mod", $sec_key))) {
die ("<center><img src=images/logo.gif>
<b>The html tags you attempted to use are not allowed</b>
[ <a href=\"javascript:history.go(-1)\"><b>Go Back</b></a> ]");
}
}
//--------------------------------------------------------------------------
// А вот и POST. А почему мало. Ведь кроме over есть ещё и
foreach ($_POST as $secvalue) {
if ((eregi("<[^>]*over*\"?[^>]*>", $secvalue)) || (eregi("<[^>]script*\"?[^>]*>", $secvalue)) || (eregi("<[^>]style*\"?[^>]*>", $secvalue))) {
die ("<center><img src=images/logo.gif>
<b>The html tags you attempted to use are not allowed</b>
[ <a href=\"javascript:history.go(-1)\"><b>Go Back</b></a> ]");
}
//Это я написал http://chajnik.ru
$u='((<a)|(\[url))';
//$u='<a';
if(
preg_match("/$u.*$u/is", $secvalue)
or preg_match("/viagra/i", $secvalue)
or preg_match("/good site/i", $secvalue)
or preg_match("/Nice site/i", $secvalue)
or preg_match("/great site/i", $secvalue)
or preg_match("/Cool site. Thank/i", $secvalue)
){header("Location: index.php"); die();}
//Конец моей писанины
}

voxel3d надо было ещё и "задний проход" оставить :-) это быстро отрезвляет от самоуверенности и заставляет немного поучиться. К стати даже на германке есть проблемки с уязвимостями.

чтобы избежать ХСС атаки хватает одной функции htmlspecialchars
Я начинал с изучения взломов, потом перешел на программирование) Очень полезно, когда знаешь, что нужно закрыть )

Ну гостевые или блоги и содержат эти формы и в большинстве случаев всё появляется на сатйте без редактирования админом.
А автоматическую обработку содержания делают далеко не все.

/home/milto136/domains/so-sputnika.ru
тебе это что-то напоминает ?

Нет

Ну так сделай обработку и пиши сам свой движок. Накой тебе CMS?

а зря, там лежит твой сайтик.

Похоже на путь файловой системы какого то сервака.

Там он точно не лежит. Это просто путь - на сервере. И никакого проку от него нет.
А чтоб попасть на мои сайты нужно набрать ftp:// итд - именно там он лежит.

/home/milto136/domains/so-sputnika.ru/public_html/
тут он родной

helper2008, так точно, это назваться раскрытие путей.. Когда у хакера есть путь, это облегчает задачу.

Ну так раз всё так просто - напишите что ни будь интересное у меня на сайте. Только не в гостевой, разумеется :-)

Бред. Пути у меня почти на всех серверах получаются одинаковые. Рассказывать почему так - не буду.
Путь есть. Дело за малым. Узнать Логин и пароль и лучше от интернет банка

Бред - это вы говорите. Вы никогда не сможете понять как это работает.. и неХ* спрашивать, если не интересно послушать реальные вещи....

Реальные вещи - да.
Бред - нет
Бред который грозит судом тому у которого это вдруг получится - бред вдвойне.
И я ничего не спрашивал

какой с тебя программист ?

Поделись уж, как ты узнаёшь путь.

И смех и грех

Я не будут тут ничего писать больше, ТСу не интересно.. Да и бесполезно

Пойду тогда гуглить :-)
Если так просто пути сервера узнаются, то надо предохраниться самому.

С ВЫШШИМ ОБРАЗОВАНИЕМ
"А к стати какое у Вас образование?"

Не хотел я начинать здесь писАть, но ничё так время провели
Весело

Этот путь никчёмная туфта - апачи-панели создают такие пути исходя из логина. Иногда эти пути выводятся при ошибках. Путь этот абсолютно никчёмен. К ниму нужен логин и пароль

для тебя напишу.. Пост и гет ты ловишь в String, но нужно учти, что можно отправить серверу Array.
Например, если человек напишет, то хтмл зашифрует, но есть но, если я отправлю в скрипт Array запрос, например (test.php?name[]=), то htmlspecialchars выдаст ошибку, т.к не работает с Array
<?php
echo htmlspecialchars($_GET['name']);
?>
Правильно
<?php
$name = (string) $_GET['name'];
echo htmlspecialchars($name);
?>
Vovan(ator), я программист в германии пол жизни, сейчас работаю в своей фирме )

Кроме Гет есть Пост

тоже самое с пост

В тебе я и не сомневался
Я цитировал одного клоуна который везде своё высшее демонстрирует

Вованатор табуретки в аренду сдаёт, а в промежутках круто программит
Глупость в первоначальном посте принадлежит ему:
http://foren.germany.ru/showmessage.pl?Cat=&Board=webmaster&Number=23117704&page...

Одного htmlspecialchars не достаточно. Вот первое что выдал Гугол:
http://www.softtime.ru/forum/read.php?id_forum=1&id_theme=37676&page=1
Эта тема неинтересно. Здесь мы опускаем неуча - табуреточника

Это пример, а не указание на защиту от SQL injection

Любопытно.
А ещё какие есть дыры? Для движков на Перле, например.

Во и крайнего сразу нашли
Давай дальше так!!!
А то совсем скучно стало
Анекдот на эту тему:
зверушки в лесу собрались и хвастаются у кого что есть.
Лисёнок: а у меня пкшистый мех...
Зайка: а у меня ножки быстрые...
Белочка: а я могу орешки быстро грызть...
...
Дошла очередь медвежонка...
думал он что у него есть чем похвастаться можно, ворчал, сопел и выдал:
А я...
А мне...
А уменя...
... а я вам всем щас пи*ы как дам!!!

И табуреткой по морде

Тормоз ты космонавт
Тебе сказать нечего умного по теме
и ты прекрасно видишь что простые мужики со средним образованием намного больше тебя в программировании разбираются.
Вот и бесит тебя это.
Ты в одном предложении делаешь высказывание и в конце этого же предложения сам себе противоречишь.
Ты даже не знал того, что я в своём "тупом" первом посте написал
А про знания и опыт web-programmist или voxel3d тебе даже и во сне думать не получится

Без образования вы имеете ввиду? Мужики? Вроде вы один такой.
Я не против мужиков без образования. Я против электромонтёра думающего что он умнее профессора Электротехники потому, что у электромонтёра есть опыт подключения кабелей под дождём.
Грешен. Я именно такой и был, 20 лет тому назад - электромонтёр после армии - а тут как раз Электротехника. Но я быстро осознал. А вы вот никак.

И это тебя бесит.
Поверю.
Какому професору понравится что простой мужик больше его знает и умеет
Тем более если профессор мало того что толком ничего не знал, да ещё и всё забыл.
А рабочей практики хоть-так, хоть-так не было

Не обращай внимания. ИМХО, Мильторг сегодня пьян. Пятницо ...

Где именно электротехника?
В программировании?
или в компе?

Вы даже не понимаете что ему ни нужна рабочая практика.
Не нужно профессору уметь класть кабель в грязи и под дождём

А я не пью
Мне с ним (с Милтогром) и так весело

Вообче - это предмет. Ну книжка такая толстая - если на вашем гегемонском языке

Милторг!
Ты сегодня все рекорды свои бъешь
Кабеля ему ложить не обязательно, а вот как основные принципы его теории на практике выглядят,
это очень даже полезная весЧиЦЦа

Милторг!
Ещё по пивку и ты начнёшь собственные законы физики открывать
Я вообще не могу врубиться как ты с безопасности сайта или движка сайта на электротехнику перешёл
Ну программирование это ещё по теме было, а теперь ты чёт заблудился немного
А толстая стопка газет это тоже электротехника?

Вован мне скучно. Я не получаю новых знаний и умений. И от вас я их никак получить не смогу. Ради бога, не пишите больше глупостей - видите как я это остро всё воспринимаю

Ещё по пивку и расслабишся

Попробую расширить Ваш кругозор
Электротехника это не книжка.
Да, есть книги по электротехнике,
но в них только описываются принципы работы электро-технических приборов или законов связаных с ними,
но это не сама электротехника.
Запомни это и иди спать.
А проспишся, может проще думаться будет
Утро вечера мудренее

Наш то, уснул что ли?

даааа... профессор неадекватный Сам спрашивает совета, а когда говорят, то он начинает делать с себя самого умного...

спор вообще без полезный. все зависит от цели использования DB. если интересно посмотри, sql(mysql mssql, oracle) vs nosql (redis, mongodbs etc).

Я не против утверждения, что MySQL шустрее БД на текстовых файлах.
Я против утверждения, что эта разница исчисляется разами.

ну eсли сервер свой то fali2ban, файервол настроить, апдейты делать регулярно ну и следить за своим приложением что бы чисто было. это так грубо. а вообще если серьезное что, то бери managed server.

ну как сказать. при отключеных magic quotes или дырявых скриптах знание такого путя очень даже имеет роль. знаешь где лежит passwd, можно много чего интересного сдвлать. ну тебе то чего бояться, да?

Нет, у меня свой движок. Никакие файрволы и обновления не нужны.

ребят, заканчивайте кормить)