biztonságos login, avagy login hack...
Sziasztok!
Még mindíg kezdőnek érzem magam a témában. Sikerült összehoznom egy weblapot, amelyen működik a regisztráció és a bejelentkezés. A problémám a biztonsággal van. Úgy működik a rendszer, hogy először is ugye regisztrálsz, aztán megkérdezi a szerver, h a megadott adatok rendben vannak e, majd elküld a usernek egy mailt az aktiváláshoz. A felhasználói adatok MySQLben vannak tárolva. Mivel igen kezdő vagyok, az lenne a kérdésem, hogy miket célszerű lellenőrizni a megadott felhasználói adatokban? Értem itt pl azt, hogy ha megad a user mondjuk egy php kódot, akkor azzal simán haza tudja vágni az oldalamat. pl egy </table>, ami még csak nem is hack, de a második lépésben (mikor rákérdez, h rendben vannak e az adatok, és kiírja a usernevet) simán átformázza a kiiratást. Mi van akkor, ha (include"akarmi.php"); -t ad meg, amivel már simán tud esetleg kezdeni valamit. Szóval tudtok e esetleg valami oldalt javasolni, ahol a legáltalánosabb biztonsági dolgok le vannak írva, hogy mit és hogy célszerű lechekkolni a megadott adatokban (nyilván a html tag-eket, meg a php kódot valahogy ki kéne szűrni, de vajh mi a legegyszerűbb és leghatékonyabb megoldás erre)?
Előre is köszi a hozzászólásokat.
Jah, és a "fikázóknak" előre szólnék, h igen, szoktam olvasgatni a gogglit is meg hu.php.net -et is, és másokat is, uh ha ott megtaláltam volna amit keresek, akkor nem kérdezném itt :) (ez azonban nem zárja ki azt, h lehet, h rosszul keresek. itt szeretném ismét hangsúlyozni, h kezdő vok!).
Köszi mégeccer!
■ Még mindíg kezdőnek érzem magam a témában. Sikerült összehoznom egy weblapot, amelyen működik a regisztráció és a bejelentkezés. A problémám a biztonsággal van. Úgy működik a rendszer, hogy először is ugye regisztrálsz, aztán megkérdezi a szerver, h a megadott adatok rendben vannak e, majd elküld a usernek egy mailt az aktiváláshoz. A felhasználói adatok MySQLben vannak tárolva. Mivel igen kezdő vagyok, az lenne a kérdésem, hogy miket célszerű lellenőrizni a megadott felhasználói adatokban? Értem itt pl azt, hogy ha megad a user mondjuk egy php kódot, akkor azzal simán haza tudja vágni az oldalamat. pl egy </table>, ami még csak nem is hack, de a második lépésben (mikor rákérdez, h rendben vannak e az adatok, és kiírja a usernevet) simán átformázza a kiiratást. Mi van akkor, ha (include"akarmi.php"); -t ad meg, amivel már simán tud esetleg kezdeni valamit. Szóval tudtok e esetleg valami oldalt javasolni, ahol a legáltalánosabb biztonsági dolgok le vannak írva, hogy mit és hogy célszerű lechekkolni a megadott adatokban (nyilván a html tag-eket, meg a php kódot valahogy ki kéne szűrni, de vajh mi a legegyszerűbb és leghatékonyabb megoldás erre)?
Előre is köszi a hozzászólásokat.
Jah, és a "fikázóknak" előre szólnék, h igen, szoktam olvasgatni a gogglit is meg hu.php.net -et is, és másokat is, uh ha ott megtaláltam volna amit keresek, akkor nem kérdezném itt :) (ez azonban nem zárja ki azt, h lehet, h rosszul keresek. itt szeretném ismét hangsúlyozni, h kezdő vok!).
Köszi mégeccer!
Weblabor cikk
thx
Chris Shiflett cikkeit nézd át szvsz
http://shiflett.org/articles
kezdve az aljától felfele :)
ill. http://phpsec.org/library/
Egy alapmű
thx ismét :)
köszi mindenkinek, megnézem mindegyiket!