Anonymní profil Petr_Uk – Programujte.com

Jestli muzes kdyz se podivas na nize uvedeny kod kde vidis bezpecnostni trhlinu a jak ji osetrit?

function OpenMyDBCl()

{

try {

$dbh = new PDO("mysql:host=host;dbname=tarzan", "databaze", "heslo");  //

$GLOBALS ['$dbh']=$dbh;

} catch (PDOException $e) {  // if not get the messagge

   print "<h3 class='bmessage'>Failed to connect to MySql</h3> " .  "<br/>" . $e->getMessage() ;

   require ('template/footer.phtml');

   die(); 

}

}

Na jine strance nactu   require ("connect.php");

  OpenMyDBCl(); 

  $dbhselect=$GLOBALS ['$dbh'];

  $sqlselect = 'SELECT * FROM my_address ORDER BY surname DESC';

  $resultsselect = $dbhselect->prepare($sqlselect);    

  $resultsselect->execute();  

<?php while($row = $resultsselect->fetch()){

Echo $row['surname'];

}

Mas pravdu tu neznam. Pro pristup do DB pouzivam new PDO.

Muzes mi prosinte napsat jake bezpecnostni chyby muzu udelat ve skryptech? Je pravda ze do toho moc nedelam tak se mi kazda rada hodi. Ja jen zatim prenasim data pres formular pomoci post a mam na jedne strance vytvorenou funkci na otevreni db  a pak tu stranu jen nactu kde potrebuji a aktivuji funkci. Tam bych videl problem nebot nevim nakolik je bezpecne nacitat funkci z jine stranky kde je vlastne jmeno a heslo k db.

Takze jak bys ty ulozil data do DB s tim ze tam bude napr udaj o kreditce a temito daty v budoucnu pracoval?

Diky moc za rady.

Takze podle toho co tady pises je zbytecne kodovat jmena a hesla ulozena v DB jen proto ze jsou textova ? Kdyz clovek nakupuje na netu do databaze se ukladaji vetsinou textove udaje s celou adresou a obcas i data o pouzite kreditce a podle mne neni dobry napad to mit odkryte jen tak at si to kdokoliv precte kdo se tam dostane. Po pravde nechci studovat cele roky o security abych udelal par stranek s internetovym obchodem proto se ptam tady. Apropo myslel jsem si ze sha je jen jednostranna cesta nejde z toho zpetne zjistit co to bylo.  

Tato cast kodu je na prepsani dat v Databazi. Nactu data z databaze - rozkoduji aby byli citelne, uzivatel si vybere ktery zaznam upravit a zakoduji jen ID toho zaznamu a poslu. Pak ho rozkoduji a porovnam s databazi a ta vybere odpovidajici zaznamy a rozkoduje, Uzivatel je upravi a ............... to je ta pointa pri odesilani to chci zakodovat a poslat do db. Nechci mit citelne udaje v db. Kdyby se tam nekdo dostal udaje mu budou k nicemu.

Zatim mam vice otazek nez reseni. Kdyby nekoho napadlo SSL pracuji na tom, ale stejne bych to rad poslal primo z toho formulare zabezpecene.