Školní stránky-ochrana. – MS SQL – Fórum – Programujte.com
 x   TIP: Přetáhni ikonu na hlavní panel pro připnutí webu
Reklama
Reklama

Školní stránky-ochrana. – MS SQL – Fórum – Programujte.comŠkolní stránky-ochrana. – MS SQL – Fórum – Programujte.com

 

Hledá se programátor! Plat 1 800 € + bonusy (firma Boxmol.com)
Ivo Obr
~ Anonymní uživatel
2 příspěvky
12. 8. 2011   #1
-
0
-

Dobrý den
Jsem učitel informatiky a udělal jsem pro  školu webové stránky a použil jsem tam SQL databázy   na přihlašování studentů.
   Ale studenti (zvláště ti starší ) se mi za každou cenu snaží dostat do systému a získat všechna přístupová hesla. Takže se snažím  " zalepit " všechny bezpečnostní trhliny abych měl na chvíli klid :) . Asi před týdnem jsem zkoušel jestli je systém odolný proti   SQL injection  a  vyjela mi tato hláška  :
                 
          Warning: sqlite_query() [function.sqlite-query]:        unrecognized token: "\" in   
                       E:\APACHE\Apache2\htdocs\xmenu3.php on line 119 .

Nevím jestli je to dobře nebo špatně.Snažil jsem se to nějak opravit,ale pořád vyjíždí tato hláška.  A proto bych Vás chtěl poprosit jestli by jste se  mohli  pokusit otestovat a pokud by tam nějaká chyba byla,tak jestli by jste my mohly poslat postup  slabé místo v kódu nebo třeba i opravený kód na email :  obr-ivo@seznam.cz.

Děkuji
S pozdravem Ing. Ivo Obr

Nahlásit jako SPAM
IP: 90.176.181.–
Reklama
Reklama
KIIV+42
God of flame
12. 8. 2011   #2
-
+1
-
Zajímavé

no potencialni chyby jsou odhadnutelny nejlepe ze zdrojoveho kodu... takze pokud to neni tajne muze se projit tady... (samozrejme to chce vymazat dulezity polozky... jako hesla k databazi a tak :)

Kazdopadne jedna z moznosti jak zabranit uniku hesel je pouzit hash s takzvanou "soli" (prida se nejaky konstantni retezec k heslu a zahashuje se to cele) - ikdyz vytahnou nahodou data, jsou jim k nicemu - nevi jak to bylo zakodovany - tj. bez zdrojaku nedostanou spravny heslo ani kolizi hashovaciho algoritmu (urcite je to tu popsany vickrat)

Urcite taky pouzivat pro kazdy vstup, co se pouziva do databaze mysql_real_escape nebo neco takovyho pro sqlite..-

Moznosti je moc

Nahlásit jako SPAM
IP: 62.168.56.–
Program vždy dělá to co naprogramujete, ne to co chcete...
Ivo Obr
~ Anonymní uživatel
2 příspěvky
12. 8. 2011   #3
-
0
-

Myslel jste zdrojový kód?

 kód :  

<!doctype html public "-//W3C//DTD HTML 4.01 Transitional//EN">

<html>

<head>

<meta http-equiv="Content-Type" content="text/html; charset=windows-1250">

<meta name="copyright" content="Gymnázium, Lanškroun">

<meta name="author" content="Ivo Obr">

<meta name="robots" content="nofollow">

<meta name="KeyWords" content="GYMNAZIUM, GYMNASIUM, GYMNÁZIUM, LANSKROUN, LANŠKROUN">

<meta name="description" content="Gymnázium, Lanškroun">

<title></title>

<link rel="stylesheet" type="text/css" rel="nofollow" href="xgymlan.css">

</head>

<body>

<table class="max">

<tr><td>

<div class="uvod">

<img style="height: 70px; width: 130px; z-index: 0; position: relative; left: -5px; top: -5px" src="xgymn1.jpg"  alt="gymnázium Lanškroun">

<img style="height: 60px; width: 620px; position: relative; left: -30px; top: -10px" src="xnadpisn.gif" alt="Gymnázium, Lanškroun">

<!--

<img style="height: 90px; width: 55px; position: absolute; left: 705px; top: 10px" src="stromek_vanoce.gif" alt="strom">

-->

</div></td><td width=220 VALIGN="Bottom">

<div>

<p class="kmen11"> nám. Jana Marka Marků 113<br>563 12 LANŠKROUN</p>

</div>

</td></tr>

</table>

<!--  Z Á K L A D N Í   M E N U 

celé menu je v jediné buňce tabulky -->

<div style="position: relative; top: -18px">

<table id="menu">

<tr><td>

<div class="menu_nad">&nbsp;AKTUÁLNĚ</div>

<div class="odsaz"><a class="menu" rel="nofollow" href="xprijimaci_rizeni.php">PŘIJÍMAČKY 2011</a></div>

<div class="odsaz"><a class="menu" rel="nofollow" href="xclanky.php">ČLÁNKY A DISKUZE</a></div>

<div class="odsaz"><a class="menu" rel="nofollow" href="xnastenka.php">NÁSTĚNKA</a></div>

<div class="m">&nbsp;</div>

<div class="menu_nad">&nbsp;STUDIUM</div>

<div class="odsaz"><a class="menu" rel="nofollow" href="rozvrh/suplobec.htm" target="data">ZMĚNY ROZVRHU</a></div>

<div class="odsaz"><a class="menu" rel="nofollow" href="xrozvrh/rozvrhtr.htm" target="data">ROZVRHY TŘÍD</a></div>

<div class="odsaz"><a class="menu" rel="nofollow" href="http://www.gymla.cz:81">PRO RODIČE</a></div>

<!-- <div class="odsaz"><a rel="nofollow" href="xpro_rodice.php">pro rodiče</a></div>

-->

<div class="odsaz"><a class="menu" rel="nofollow" href="http://www.novamaturita.cz/katalogy-pozadavku-1404033138.html">KATALOGY POŽAD.</a></div>

<div class="odsaz"><a class="menu" rel="nofollow" href="xke_stazeni.php">KE STAŽENÍ</a></div>

<div class="m">&nbsp;</div>

<div class="menu_nad">&nbsp;ZÁJMOVÁ ČINNOST</div>

<!-- <div class="odsaz"><a class="menu" rel="nofollow" href="xsouteze.php">SOUTĚŽE</a></div>  -->

<div class="odsaz"><a class="menu" rel="nofollow" href="http://www.skeble.uvadi.cz/index.php">DIVADLO</a></div>

<div class="odsaz"><a class="menu" rel="nofollow" href="xpevecky_sbor.php">PĚVECKÝ SBOR</a></div>

<!-- <div class="odsaz"><a rel="nofollow" href="xx.php">karate</a></div>  -->

<!--<div class="odsaz"><a class="menu" rel="nofollow" href="xhokejovy_klub.php">HOKEJOVÝ KLUB</a></div>  -->

<div class="m">&nbsp;</div>

<div class="menu_nad">&nbsp;OSTATNÍ</div>

<div class="odsaz"><a class="menu" rel="nofollow" href="xfotogal.php">FOTOGAL.</a>

      &nbsp;&nbsp; <a class="menu" rel="nofollow" href="xvidea_view.php">VIDEA</a></div>

<div class="odsaz"><a class="menu" rel="nofollow" href="xfotogalerie.php">FOTOGALERIE PŮV.</a></div>

<div class="odsaz"><a class="menu" rel="nofollow" href="xstudentske_weby.php">STRÁNKY TŘÍD</a></div>

<div class="odsaz"><a class="menu" rel="nofollow" href="http://madoret.eu">JÍDELNÍČEK MADORET</a></div>

<!-- <div class="odsaz"><a rel="nofollow" href="xx.php">ze života školy</a></div> -->

<div class="m">&nbsp;</div>

<div class="menu_nad">&nbsp;O GYMNÁZIU</div>

<div class="odsaz"><a class="menu" rel="nofollow" href="xzakl_inf.php">ZÁKL. INFORMACE</a></div>

<div class="odsaz"><a class="menu" rel="nofollow" href="xletosni_plan.php">PLÁN ŠKOL. ROKU</a></div>

<div class="odsaz"><a class="menu" rel="nofollow" href="xskolni_rad.php">ŠKOLNÍ ŘÁD</a></div>

<div class="odsaz"><a class="menu" rel="nofollow" href="xklasifikacni_rad.php">HODNOCENÍ VÝSL.V.</a></div>

<div class="odsaz"><a class="menu" rel="nofollow" href="xskol_rada.php">ŠKOLSKÁ RADA</a></div>

<div class="odsaz"><a class="menu" rel="nofollow" href="xzamestnanci.php">ZAMĚSTNANCI ŠKOLY</a></div>

<div class="odsaz"><a class="menu" rel="nofollow" href="xostatni.php">OSTATNÍ DOKUMENTY</a></div>

<div class="m">&nbsp;</div>

<div class="menu_nad">&nbsp;NEPŘIHLÁŠEN</div>
<form  action="/xzakl_inf.php" method="post">
<div class="kmen7" style="background-color: #FCE">
&nbsp; &nbsp; Přihlašovací jméno : &nbsp; &nbsp;
&nbsp;&nbsp;<input class="kmen9" style="margin: 3px" name="fpjmeno" type="text" size="17"><br>
&nbsp; &nbsp; Heslo : &nbsp; &nbsp;
&nbsp;&nbsp;<input class="kmen9" style="margin: 3px" name="fheslo" type="password" size="17"><br>&nbsp; &nbsp;
<input class="kmen7" name="vstup_hes" value="přihlásit se" type="submit">&nbsp;&nbsp;
&nbsp; <a rel="nofollow" href="xinfo.php" ><img style="margin: 0px; padding: 5px 0px 0px 0px" src="./images/otaznik.gif" alt="?" width="16" height="18"></a>
</div></form>


<div class="menu_nad">&nbsp;OSTATNI</div>

<div class="odsaz"><a class="menu" rel="nofollow" href="http://www.novamaturita.cz" target="top">NOVÁ MATURITA</a></div><br>

<div class="odsaz"><a class="menu" rel="nofollow" href="http://www.msmt.cz"><img src="./images/msmt.gif" alt="MSMT" width="108"></a></div>

</td></tr>

</table>

</div>

<script language="javascript">

<!--

var P1 = new Image(400, 290);

var P2 = new Image(400, 290);

var P3 = new Image(400, 290);

var P4 = new Image(400, 290);

var P5 = new Image(400, 290);

// var P5 = new Image(400, 290);

P1.src = "./images/r_hriste.png";

P2.src = "./images/r_nastenka.jpg";

//P3.src = "./images/r_skolnik.jpg";

//P4.src = "./images/r_dvs.jpg";

//P5.src = "./images/r_drahousek.jpg";

var XX=2;

// XX=Math.floor(1+Math.random()*5);  style="width: 400px; height: 290px; border:0px" width="400" height=290

-->

</script>

<div class="data">

<div style="position: absolute; top: 26px; left: 406px; width: 400px; height: 290px; border: 0px yellow solid; padding: 4px">

<img id="reklama" name="reklama" src="./images/r_hriste.png" alt="hřiště"

  width="400" height=270>

<script language="javascript">

<!--

function NC()

{

switch (XX) {

  case 1 : {XX = 2; document.getElementById('reklama').src = P1.src; var cas= 6000; break; }

  case 2 : {XX = 1; document.getElementById('reklama').src = P2.src; var cas= 9000; break; }

  case 3 : {XX = 4; document.getElementById('reklama').src = P3.src; var cas= 7000; break; }

  case 4 : {XX = 5; document.getElementById('reklama').src = P4.src; var cas= 8000; break; }

  case 5 : {XX = 1; document.getElementById('reklama').src = P5.src; var cas= 10000; break; }

            }

nacasovani1  = window.setTimeout("NC();", (cas));

};

  NC();

-->

</script> 

</div>

<a rel="nofollow" href='http://www.ctenipomaha.cz' title='projekt čtení pomáhá'>

  <img src="./images/cteni_pomaha.png"

   alt="CTENÍ POMÁHÁ" 

   style="border: 0px solid black; position: absolute; height: 84px; top: 332px; left: 425px;"" />

</a>

<a rel="nofollow" href="http://www.ceskahlava.cz"> <img src="./images/ceska_hlava.jpg" alt="česká hlava"

  style="position: absolute; top: 372px; left: 600px; ; height: 47px; border-color: white"></a>   

<a rel="nofollow" href="http://www.seznam.cz"> <img src="./pictures/seznam.gif" alt="www.Seznam.cz"

  style="position: absolute; top: 440px; left: 430px; ; height: 28px; border-color: white"></a>

<a rel="nofollow" href="http://www.e-bezpeci.cz"> <img src="./pictures/ebezpeci.jpg" alt="elektronické bezpečí"

  style="position: absolute; top: 438px; left: 538px; ; height: 32px; width: 170px; border-color: white"></a>      

<a rel="nofollow" href="http://www.google.cz"> <img src="./pictures/google.gif" alt="www.google.cz"

  style="position: absolute; top: 440px; left: 720px; ; height: 28px; border-color: white"></a>

<h1>ZÁKLADNÍ INFORMACE</h1>  <hr>

<h2>IČO, IZO: </h2>

<p class="kmen9">49 314 653, &nbsp;&nbsp;049314653</p>

<h2>Právní forma:</h2>

<p class="kmen9">příspěvková organizace zřízená krajem</p>

<h2>Zřizovací listina:</h2>

<p class="kmen9">Č.j.: KrÚ 18383/2005/OŠMS/3 ze dne 27.10.2005</p>

<h2>Název, sídlo, IČO zřizovatele:</h2>

<p class="kmen9">Pardubický kraj, Komenského nám. 125, 53211 Pardubice

<br>IČO : 70 892 822<br><br></p>

<h2>Studijní obory:</h2>

<p class="kmen9">79-41-K/401 Gymnázium - všeobecné (čtyřleté studium, dobíhající obor)<br>

79-41-K/801 Gymnázium - všeobecné (osmileté studium, dobíhající obor)<br>

79-41-K/41 Gymnázium (čtyřleté studium)<br>

79-41-K/81 Gymnázium (osmileté studium)</p>

<hr>

<h2>Telefon, fax: &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;

<span class="odsaz30">Kontaktní e-mailová adresa:</span>

<!-- <span class="odsaz60">Výhodně výp. technika &nbsp;&nbsp; Podpora vědecké inteligence</span> -->

  </h2>

<p class="kmen9">(+420) 465 321 070 &nbsp;&nbsp;&nbsp;&nbsp;

<span class="odsaz30"><a rel="nofollow" href="mailto:info@gymla.cz">info@gymla.cz</a></span>

   <br>

</p>

<h2>Ředitelka školy: &nbsp;&nbsp;&nbsp;<span class="odsaz30">Zástupkyně ředitelky školy:</span></h2>

<p class="kmen9">RNDr. Věra Šverclová &nbsp; <span class="odsaz30"> Ing. Věra Bůžková </span><br>

<a rel="nofollow" href="mailto:sverclova@gymla.cz" >sverclova@gymla.cz</a> &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;

<span class="odsaz30"><a rel="nofollow" href="mailto:buzkova@gymla.cz">buzkova@gymla.cz</a></span></p>

<hr><h2>Úřední hodiny na Gymnáziu Lanškroun v době prázdnin</h2>

<p class="kmen9">Pondělí:&nbsp;    10.00 – 11.00  &nbsp;&nbsp;  <br>

Středa:  &nbsp;&nbsp;     14.00 – 15.00 &nbsp;&nbsp;</p>

<hr>

<a  rel="nofollow" href="http://www.mapy.cz/#x=138101440@y=135363152@z=16@mm=ZP@ax=138100848@ay=135363968@at=Gymn%C3%A1zium,%20Lan%C5%A1kroun@ad=n%C3%A1m.%20J.M.Mark%C5%AF%20113,%20Lan%C5%A1kroun-Vnit%C5%99n%C3%AD%20m%C4%9Bsto%20PS%C4%8C%20563%2012@sa=s@st=s@ssq=lan%C5%A1kroun@sss=1@ssp=124900261_126797697_146199461_145639297">

<img class="mapa" src="http://1.im.cz/mapy/2007/img/usericon.gif"  title="Mapy.cz: Najdete nás zde" alt="mapa"></a>

<span class="odsaz150">GPS :</span><span class="kmen9"> 49°54'44.105"N, 16°36'39.17"E </span>

<br><!--<br><hr><h2>Úřední hodiny na Gymnáziu Lanškroun v době prázdnin</h2>

<p class="kmen9">Pondělí:&nbsp;    10.00 – 11.00  &nbsp;&nbsp;  (mimo 19. 7. 2010)<br>

Středa:  &nbsp;&nbsp;     14.00 – 15.00 &nbsp;&nbsp;   (mimo 21. 7. 2010)</p> -->

<br><div class="konec">&nbsp; &nbsp; &nbsp; &nbsp;  CZECH REPUBLIC &nbsp; &nbsp; &nbsp; Gymnázium, Lanškroun &nbsp; nám.Jana Marka Marků 113 &nbsp; &nbsp;563 12 LANŠKROUN&nbsp &nbsp; &nbsp; © 2008 - 2011 Ing.Obr Ivo &nbsp; Copyright &nbsp;  / &nbsp; Všechna práva vyhrazena &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; </div></div>

</body>

</html>

A jak jsem tam psal tu chybovou hlášku,je ta hláška nějaká nebezpečná ? Třeba že by s její pomocí mohli získat dataq?

Nahlásit jako SPAM
IP: 90.176.181.–
zlz
~ Anonymní uživatel
634 příspěvků
12. 8. 2011   #4
-
0
-

Pan Obr by asi tu chybovou hlášku pochopil, byl by schopen dodat relevantní kód, nevyjadřoval by se jak retard a taky má trochu jinou adresu.

Nahlásit jako SPAM
IP: 213.211.51.–
null_while
~ Moderátor
+6
Věrný člen
13. 8. 2011   #5
-
0
-

Pokud pod pojmem "doložení zdrojového kódu" rozumíte zaslání obsah pravého tlačítka -> zobrazit zdrojový kód, nerozumíte správě a zabezpečení databází a spravujete internetové stránky s osobními informacemi Vašich žáků mám pro Vás jednu radu: Ne, nedělejte to.

Pokud se ptáte na takový základ jako je zabezpečení a jste učitelem na gymnáziích kde se berou mnohdy i základy programování v pythonu, php, apod... tak Vám kdejaký průměrný programátor, kodér z řad studentů podle návodů "šlohne" hesla vždycky. 

Pokud je budete hashovat tak ochráníte další účty uživatelů, ke kterým by se pomocí hesla dostal, ale nikoliv jejich osobní informace, adresy, čísla, profily, apod. 

Nahlásit jako SPAM
IP: 213.250.198.–
Webnia.cz - tvorba webových stránek
Zjistit počet nových příspěvků

Přidej příspěvek

Toto téma je starší jak čtvrt roku – přidej svůj příspěvek jen tehdy, máš-li k tématu opravdu co říct!

Ano, opravdu chci reagovat → zobrazí formulář pro přidání příspěvku

×Vložení zdrojáku

×Vložení obrázku

Vložit URL obrázku Vybrat obrázek na disku
Vlož URL adresu obrázku:
Klikni a vyber obrázek z počítače:

×Vložení videa

Aktuálně jsou podporována videa ze serverů YouTube, Vimeo a Dailymotion.
×
 
Podporujeme Gravatara.
Zadej URL adresu Avatara (40 x 40 px) nebo emailovou adresu pro použití Gravatara.
Email nikam neukládáme, po získání Gravatara je zahozen.
-
Pravidla pro psaní příspěvků, používej diakritiku. ENTER pro nový odstavec, SHIFT + ENTER pro nový řádek.
Sledovat nové příspěvky (pouze pro přihlášené)
Sleduj vlákno a v případě přidání nového příspěvku o tom budeš vědět mezi prvními.
Reaguješ na příspěvek:

Uživatelé prohlížející si toto vlákno

Uživatelé on-line: 0 registrovaných, 4 hosté

Podobná vlákna

Arma II - ochrana — založil RomanZ

Ochrana kodu — založil insider

školní práce — založil Jan Malý

Školní projekt — založil Asimka

Školní projekt v C — založil sputnikone

 

Hostujeme u Českého hostingu       ISSN 1801-1586       ⇡ Nahoru Webtea.cz logo © 20032016 Programujte.com
Zasadilo a pěstuje Webtea.cz, šéfredaktor Lukáš Churý