Zarábaj až 6 000 € mesačne! Akreditované rekvalifikačné kurzy od 0 €. Viac informácií.

Diskusia – Obrana proti útoku Mass assignment v PHP

Späť

Upozorňujeme, že diskusie pod našimi online kurzami sú nemoderované a primárne slúžia na získavanie spätnej väzby pre budúce vylepšenie kurzov. Pre študentov našich rekvalifikačných kurzov ponúkame možnosť priameho kontaktu s lektormi a študijným referentom pre osobné konzultácie a podporu v rámci ich štúdia. Toto je exkluzívna služba, ktorá zaisťuje kvalitnú a cielenú pomoc v prípade akýchkoľvek otázok alebo projektov.

Komentáre
Avatar
Michal Žůrek - misaz
Tvůrce
Avatar
Odpovedá na asanos
Michal Žůrek - misaz:29.3.2014 21:56

to se najde vždycky, nemusíš se bát.

 
Odpovedať
29.3.2014 21:56
Avatar
Martin Konečný (pavelco1998)
Tvůrce
Avatar
Odpovedá na asanos
Martin Konečný (pavelco1998):30.3.2014 14:32
  1. Ano, mám v plánu ještě nějaké články připsat, jen to z určitých důvodů nemohu udělat teď.
  2. Zneužít se toho dá - a právě kvůli tomu tato sekce vůbec nemusela vzniknout. Podle mého názoru je ale lepší ten útok ukázat, aby web vývojáři věděli, co je může postihnout a jak tomu mají předcházet.
  3. O OWASP jsem bohužel neslyšel.
Odpovedať
+2
30.3.2014 14:32
Aktuálně připravuji browser RPG, FB stránka - https://www.facebook.com/AlteiraCZ
Avatar
kuba_kubikula
Člen
Avatar
kuba_kubikula:9.5.2014 0:47

Ahoj,
trošku tápu.
Je aplikace ochráněna proti tomuto útoku když předané hodnoty filtruji
$data1 = filter_input(IN­PUT_POST,'data')
a používám předpřipravenou funkci
$dbh->prepare('SELECT * FROM fruit WHERE ID = ? AND colour = ?');
$dbh->execute(arra­y($data1,$data2);

Děkuji, Jakub

 
Odpovedať
9.5.2014 0:47
Avatar
Michal Žůrek - misaz
Tvůrce
Avatar
Odpovedá na kuba_kubikula
Michal Žůrek - misaz:9.5.2014 6:24

mělo by to být OK.

 
Odpovedať
9.5.2014 6:24
Avatar
BulDozer Diwinorum
Člen
Avatar
BulDozer Diwinorum:11.4.2015 18:48

Ahoj, ahoj.... ja by som sa spytal....

1. je nejaka moznost zistit nazov db alebo nazvy tabuliek alebo stlpcov ak sa tieto nazvy vyskytuju len v mysql dopytoch?

a

2. je v niecom lepsie pouzivat prikaz mysqli_ od mysql_ ?
3. ak uz pouzijem id ako cislo tak to predsa staci overit prikazom is_numeric....alebo sa mylim?

totiz to, moc mi nesadlo OOP a robim radsej proceduralne a priznavam, ze moje programovanie nie je nic extra :D ,kazdopadne v mojich projektoch potrebujem osetrit citlive data

vopred dakujem za rady

Editované 11.4.2015 18:49
 
Odpovedať
11.4.2015 18:48
Avatar
Martin Konečný (pavelco1998)
Tvůrce
Avatar
Odpovedá na BulDozer Diwinorum
Martin Konečný (pavelco1998):11.4.2015 18:56

zdar,

  1. neznám jiný způsob, kterým by to šlo zjistit, než zobrazením názvu v chybovém hlášení (to by mělo být na ostrém serveru zakázáno).
  2. mysqli neznám, ale má umožňovat např. parametrizované dotazy. Spíš se podívej na PDO (tady je o tom hodně tutoriálů).
  3. is_numeric() moc nepoužívám - když už chci mít v dotazu číslo, tak to přetypuji, je to jistější. Pokud ale jako parametry posíláš uživatelské vstupy ručně, pak je to OK - tento článek mluví spíše o tom, že do DB dotazu vložíš rovnou celé pole (třeba $_POST), aniž by sis zkontroloval, jestli obsahuje pouze to, co očekáváš.
Odpovedať
11.4.2015 18:56
Aktuálně připravuji browser RPG, FB stránka - https://www.facebook.com/AlteiraCZ
Avatar
BulDozer Diwinorum
Člen
Avatar
Odpovedá na Martin Konečný (pavelco1998)
BulDozer Diwinorum:11.4.2015 19:10

tak to by ma ani vo sme nenapadlo :D :D dakujem teda za ukludnenie mojej paranoje :D :D :D ... pozrem teda aj na to OOP, uz niektore kniznice v podstate aj vyuzivam.... hlavne html do pdf alebo posielanie mailov ... a velmi sa mi pacili aj clanky, co napisal David Čápka o vlastnom frameworku... skoda len, ze mi ich neukazalo vsetky do konca.... kazdopadne dik aj za to... tento web je paradny, prehladny a ako jeden z mala aj zrozumitelny

Editované 11.4.2015 19:11
 
Odpovedať
+1
11.4.2015 19:10
Robíme čo je v našich silách, aby bola tunajšia diskusia čo najkvalitnejšia. Preto do nej tiež môžu prispievať len registrovaní členovia. Pre zapojenie sa do diskusie sa zaloguj. Ak ešte nemáš účet, zaregistruj sa, je to zadarmo.

Zobrazené 7 správy z 27.