greekgate Δημοσ. 6 Ιουνίου 2007 Δημοσ. 6 Ιουνίου 2007 Καλησπέρα, χρησιμοποιώ τους παρακάτω κώδικες(που κάνουν την ίδια δουλειά) ><?php if (eregi("http", $cat) || eregi("www", $cat) || eregi("ftp://",$cat)) { die("hack attempt, your ip is logged and will be investigated!"); } else { $inc_page = $cat.".php"; include $inc_page; } ?> ><?php $page=$_GET['cat']; if (eregi("http", $cat) || eregi("www", $cat) || eregi("ftp://",$cat)) { die("hack attempt"); } if (isset($_GET["cat"])){ include ($HTTP_GET_VARS['cat'].".php"); }; ?> για να γίνεται include η σελίδα που ορίζω με την $_GET και μέχρι πριν λίγες μέρες πίστευα ότι είναι και ασφαλές αλλά έχω παράπονα από τον hoster ότι έχει τρύπες το site με αποτέλεσμα να στέλνονται μέσω του account 1.000δες spam mails (να χαρώ εγώ ασφάλεια και από τον server) και να μου γίνεται suspended το account. ΔΕΝ χρησιμοποιώ αλλού php, ο μόνος κώδικας είναι αυτός. Μπορεί κάποιος που "κατέχει" PHP να βοηθήσει? Ευχαριστώ εκ των προτέρων.
alexgreat Δημοσ. 7 Ιουνίου 2007 Δημοσ. 7 Ιουνίου 2007 Μπορείς να φιλτράρεις την πρόσβαση στο script σου με βάση τον HTTP_REFERRER (την σελίδα δηλαδή από την οποία καλείται το script σου). if(!$_SERVER['HTTP_REFERER'] || !strstr($_SERVER['HTTP_REFERER'],"to_domain_soy.gr"))) { die("hack attempt"); } Δοκίμασε επίσης να βάλεις εικονάκι ασφαλείας (security image). π.χ. http://www.sitepoint.com/article/toughen-forms-security-image
tmjuju Δημοσ. 7 Ιουνίου 2007 Δημοσ. 7 Ιουνίου 2007 Filtatoi, to va filtrareis me referer DEN eivai arketo! Giati o ekastorte mporei va dhlwsei oti referer 8elei. To spamming mesa apo web-forms dev givetai me Explorer/Firefox, givetai me automatopoimeva scripts kai polu 'kala' ergaliakia. episeis, ti mporouse diladh va kavei o administrator tou server otav o kodikas exei "trupa" ? Mhv toys thv leme kiolas gevika to va kaveis include seida pou thv perveis apo parametro apo web prepei va eise polu prosektikos!!! Giati empistevese auth thv parametro pou o ekastote allos mporei va ths balei oti 8elei sav input??? Sto pavepistimio to legave "Input Parameter Validation" kai mas ma8evav va mhv empistebomaste pote to input!!! Av 8es gia paradeigma kave validate oti h selida avoikei se eva kai movo polu sygkekrimevo SET apo selides (thv a.php, b.php, c.php) kai terma! Mhv me pare3igiseis - elpizw va mhv favika eristikos - eivai kai ligo arga. Alla isos prepei va skefteis to problhma apo thv arxh kai va katali3eis se kalitero design. P.S. sorry alla se epidedo kodidika dev mporw va boh8isw... thv exasa pleov thv texvh auth.
greekgate Δημοσ. 7 Ιουνίου 2007 Μέλος Δημοσ. 7 Ιουνίου 2007 Μια αλλη λυση που βρηκα ειναι να δηλώνω κάθε υποσελίδα μέσα στον κώδικα δηλαδή if($_GET['cat']=='sel1') { include 'sel1.php'; } elseif($_GET['cat']=='sel2') { include 'sel2.php'; και πάει λέγοντας.. EDIT: Τώρα είδα πως και ο tmjuju κάτι παρόμοιο μου είπε
Dikemou Δημοσ. 8 Ιουνίου 2007 Δημοσ. 8 Ιουνίου 2007 Για πιο γρήγορα: > $valid_pages = array("sel1", "sel2", "sel3"); if (in_array($_GET['cat'], $valid_pages)) include($_GET['cat'].".php"); die("blah");
Προτεινόμενες αναρτήσεις
Αρχειοθετημένο
Αυτό το θέμα έχει αρχειοθετηθεί και είναι κλειστό για περαιτέρω απαντήσεις.