ANTICHAT — форум по информационной безопасности, OSINT и технологиям
ANTICHAT — русскоязычное сообщество по безопасности, OSINT и программированию.
Форум ранее работал на доменах antichat.ru, antichat.com и antichat.club,
и теперь снова доступен на новом адресе —
forum.antichat.xyz.
Форум восстановлен и продолжает развитие: доступны архивные темы, добавляются новые обсуждения и материалы.
⚠️ Старые аккаунты восстановить невозможно — необходимо зарегистрироваться заново.
17.01.2008, 07:47
|
|
Постоянный
Регистрация: 20.01.2007
Сообщений: 787
Провел на форуме:
2924346
Репутация:
1719
|
|
omg
Limit 1 в данном контексте дает гарантию, что запрос будет применен только к первому вхождению в поле возможных значений. Иначе говоря, есть у нас таблица lg:
#id name value
1 user 333
2 user 345
3 user 444
запрос
UPDATE `lg` SET value = '777' WHERE `name` = 'user'
заменит все значения, а если добавить Limit 1, то только первое.
2 PEPSICOLA:
cookies должны быть установлены до первого вывода информации на экран. я уверен, можно структуру скриптов переформировать таким образом, чтобы это правило соблюдалось.
Последний раз редактировалось n1†R0x; 17.01.2008 в 07:52..
|
|
|
17.01.2008, 11:17
|
|
Познавший АНТИЧАТ
Регистрация: 12.05.2007
Сообщений: 1,235
Провел на форуме:
2238549
Репутация:
1318
|
|
Уже же обсуждалось, что кукисы можно ставить где угодно в скрипте, и хидеры посылать можно где угодно в скрипте... Просто нужно воспользоваться механизмом кеширования вывода, который PHP предоставляет разработчику веб-приложений... Почитай маны на тему функций ob_start() и ob_end_flush(), да и вообще всех функций ob_*. Для твоего примера решение будет следующее:
PHP код:
ob_start();
echo "Бугого!";
require_once('bugogo_lib.php');
ob_end_flush();
Внутри bugogo_lib.php может строять вызов setcookie и он корректно отработает за счёт того, что PHP прокеширует весь вывод скрипта, потом пошлёт хидеры, и только за ними отдаст прокешированный вывод... |
|
|
|
25.01.2008, 19:40
|
|
Познавший АНТИЧАТ
Регистрация: 14.10.2004
Сообщений: 1,162
Провел на форуме:
5619724
Репутация:
2944
|
|
У меня появился ещё один вопрос. 
Каким способом можно предотвратить загрузку сниферров на сайт ввиде изображений?
Допустим, открыта пользователю функция загрузки изображений. Он переделывает php скрипт в jpg формат, загружает, появляется опасность стыривания cookies и т.п. Каким способом, можно проверять файлы, на такие вот внедрения кода в jpg? И как это вообще избежать?
Если есть подобная инфа на счёт Mp3 - Тоже очень интересует.
Большое спасибо |
|
|
|
25.01.2008, 19:55
|
|
Members of Antichat - Level 5
Регистрация: 02.11.2006
Сообщений: 781
Провел на форуме:
5939734
Репутация:
1917
|
|
Ну для этого не надо проверять саму картинку, хотя можно конечноже функциями из GD например getimagesize() но смысл заключается в правильной фильтрации размещения этих картинок, т.е. защита от активных XSS, а так максимум что можно отснифать это ip адресс того кто увидит картинку, и куки не украдут при правильной фильтрации
__________________
Карфаген должен быть разрушен...
|
|
|
|
25.01.2008, 19:58
|
|
Познавший АНТИЧАТ
Регистрация: 14.10.2004
Сообщений: 1,162
Провел на форуме:
5619724
Репутация:
2944
|
|
А в чем заключается правильная фильтрация? Фильтрация идет при добавлении или при показе?
|
|
|
|
25.01.2008, 20:08
|
|
Members of Antichat - Level 5
Регистрация: 02.11.2006
Сообщений: 781
Провел на форуме:
5939734
Репутация:
1917
|
|
при размещении картинки, или ссылки, например на форуме когда ты между [bb] кодов юзербар размещаешь или аватару, куки же не тырятся можно только ип отснифать, фильтрация заключается в том, чтоб нельзя было вставить свой код, если ты сам верстаешь страницу, и пользователь не может вставлять картинки как на форуме, то тут проблемм быть не должно, если картинка берется с удаленного сервера, то тут уже фильтрация нужна, просто понимаешь в двух словах эту тему не осветишь, тут полно нюансов
__________________
Карфаген должен быть разрушен...
Последний раз редактировалось Scipio; 25.01.2008 в 20:14..
|
|
|
|
25.01.2008, 20:17
|
|
Постоянный
Регистрация: 22.04.2006
Сообщений: 566
Провел на форуме:
1325772
Репутация:
517
|
|
решение - не разрешай ставить ссылки на удаленные картинки.
т.е. позволь только загружать картинки. загружаемую картинку проверяй GD library на корректность (isgif...isjpeg - вроде так)
|
|
|
|
25.01.2008, 20:19
|
|
Познавший АНТИЧАТ
Регистрация: 14.10.2004
Сообщений: 1,162
Провел на форуме:
5619724
Репутация:
2944
|
|
Понятно, спасибо, мэн! У меня идёт так: пользователь загружает картинки на сайт и вставляет их в Bb тэги, уже с сайта.
edit: всмысле локального сайта... нет возможности удалённой вставки.  |
|
|
|
25.01.2008, 20:20
|
|
Members of Antichat - Level 5
Регистрация: 02.11.2006
Сообщений: 781
Провел на форуме:
5939734
Репутация:
1917
|
|
плюс проверяй последнее расширение у загружаемой картинки, а лучше всего пусть скрипт сам добавляет расширение
__________________
Карфаген должен быть разрушен...
|
|
|
|
25.01.2008, 20:25
|
|
Members of Antichat - Level 5
Регистрация: 02.11.2006
Сообщений: 781
Провел на форуме:
5939734
Репутация:
1917
|
|
Сообщение от PEPSICOLA
Понятно, спасибо, мэн! У меня идёт так: пользователь загружает картинки на сайт и вставляет их в Bb тэги, уже с сайта.
edit: всмысле локального сайта... нет возможности удалённой вставки. ну тут тогда надо проверять, чтоб между bb тегами нельзя было вствлять реальные теги пльс слова типа javascript и т.п. вобще WJ любит эту тему посмотри статьи где он описывает xss в форумах
__________________
Карфаген должен быть разрушен...
|
|
|
|
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Линейный вид
