abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
dnes 13:37 | Bezpečnostní upozornění

Společnost Cloudflare (Wikipedie) na svém blogu potvrdila bezpečnostní problém s její službou. V požadovaných odpovědích od reverzní proxy byla odesílána také data z neinicializované paměti. Útočník tak mohl získat cookies, autentizační tokeny, data posílaná přes HTTP POST a další citlivá data. Jednalo se o chybu v parsování HTML. Zneužitelná byla od 22. září 2016 do 18. února 2017. Seznam webů, kterých se bezpečnostní problém potenciálně týká na GitHubu.

Ladislav Hagara | Komentářů: 0
dnes 08:22 | Nová verze

Byla vydána první beta verze Ubuntu 17.04 s kódovým názvem Zesty Zapus. Ke stažení jsou obrazy Kubuntu, Lubuntu, Ubuntu Budgie, Ubuntu GNOME, Ubuntu Kylin, Ubuntu Studio a Xubuntu. Dle plánu by Ubuntu 17.04 mělo vyjít 13. dubna 2017.

Ladislav Hagara | Komentářů: 0
včera 17:53 | Bezpečnostní upozornění

Google na svém blogu věnovaném počítačové bezpečnost informuje o nalezení "reálného" způsobu generování kolizí hašovací funkce SHA-1. Podrobnosti a zdrojové kódy budou zveřejněny do 90 dnů. Již dnes lze ale na stránce SHAttered nalézt 2 pdf soubory, jejichž obsah se liší a SHA-1 otisk je stejný (infografika).

Ladislav Hagara | Komentářů: 11
včera 17:51 | Nová verze

Vyšla nová verzia open source software na správu a automatizáciu cloudových datacentier Danube Cloud 2.4. Danube Cloud je riešenie postavené na SmartOS, ZFS, KVM a zónach. Obsahuje vlastnosti ako integrovaný monitoring, DNS manažment, zálohy, a samozrejme rozsiahlu dokumentáciu.

dano | Komentářů: 5
včera 17:46 | Pozvánky

V Plzni se 3. až 5. března 2017 uskuteční AIMTEChackathon. Je to akce pro vývojáře, grafiky, webdesignéry i veřejnost. Akci provází zajímavé přednášky IT odborníků. Více o programu a možnosti přihlášení na stránkách akce.

cuba | Komentářů: 0
včera 01:00 | Nová verze

Známý šifrovaný komunikátor Signal od verze 3.30.0 již nevyžaduje Google Play Services. Autoři tak po letech vyslyšeli volání komunity, která dala vzniknout Google-free forku LibreSignal (dnes již neudržovaný). Oficiální binárky jsou stále distribuované pouze přes Google Play, ale lze použít neoficiální F-Droid repozitář fdroid.eutopia.cz s nezávislými buildy Signalu nebo oficiální binárku stáhnout z Google Play i bez Google účtu

… více »
xm | Komentářů: 6
22.2. 23:14 | Nová verze

Po třech týdnech od vydání první RC verze byla vydána první stabilní verze 17.01.0 linuxové distribuce pro routery a vestavěné systémy LEDE (Linux Embedded Development Environment), forku linuxové distribuce OpenWrt. Přehled novinek v poznámkách k vydání. Dotazy v diskusním fóru.

Ladislav Hagara | Komentářů: 6
22.2. 17:28 | Bezpečnostní upozornění

Byly zveřejněny informace o bezpečnostní chybě CVE-2017-6074 v Linuxu zneužitelné k lokální eskalaci práv. Jde o chybu v podpoře DCCP (Datagram Congestion Control Protocol). Do linuxového jádra se dostala v říjnu 2005. V upstreamu byla opravena 17. února (commit). Bezpečnostní chyba byla nalezena pomocí nástroje syzkaller [Hacker News].

Ladislav Hagara | Komentářů: 15
22.2. 15:00 | Zajímavý software

Společnost Valve vydala novou beta verzi SteamVR. Z novinek lze zdůraznit oficiální podporu Linuxu. Další informace o podpoře této platformy pro vývoj virtuální reality v Linuxu v diskusním fóru. Hlášení chyb na GitHubu.

Ladislav Hagara | Komentářů: 0
22.2. 06:00 | Nová verze

Po necelém roce od vydání verze 0.67 byla vydána verze 0.68 populárního telnet a ssh klienta PuTTY. Podrobnosti v přehledu změn. Řešeny jsou také bezpečnostní chyby.

Ladislav Hagara | Komentářů: 0
Jak se stavíte k trendu ztenčování přenosných zařízení (smartphony, notebooky)?
 (13%)
 (2%)
 (72%)
 (3%)
 (10%)
Celkem 698 hlasů
 Komentářů: 66, poslední 22.2. 18:57
    Rozcestník

    Dotaz: PHP, MySQL a SQL injection

    22.1.2015 21:44 Petr Rapouch
    PHP, MySQL a SQL injection
    Přečteno: 915×
    Dobry den,

    po byvalem kolegovi nam zustal takovy PHP moloch pro evidenci skladu, dodavatelu, odberatelu, faktur, ... Predesilam, ze PHP rozumim jako koza petrzeli. Dostal jsem nicmene za ukol doplnit tam moznost, aby odberatele mohli videt faktury, ktere jsme jim vystavili.

    Nejak jsem to uplacal, funguje to, akorat bych rad mel jistotu, ze to nepujde "haknout", nez tam pustim nekoho zvenci.

    Vim, uplne vas slysim, co vsechno mi ted chcete napsat. Aby se z toho nestal gulas, pokusim se vase rady trochu usmernit.

    V prve rade neni v tom zadny JavaScript. Dale pobezi to na renomovanem webhostingu (nebudu jmenovat, musite mi verit). Dalsi ujisteni shrnu do zkratky: atd...

    Verim, ze byste mi radi pomohli i do schodu :) ale ted mi jde fakt vyhradne o to, aby tam nebylo mozne provest SQL injection.

    Pouziva to MySQL rozsireni, ktere je "deprecated". Vim, bohuzel je to takovy moloch, ze neni v mych silach to prepsat na MySQLi nebo PDO, ani tam nasadit "prepared statements".

    V index.php, hned za prihlasenim do databaze jsem objevil toto:
    array_walk_recursive($_GET,  function(&$v, $k) {$v = mysql_real_escape_string(trim($v));});
    array_walk_recursive($_POST, function(&$v, $k) {$v = mysql_real_escape_string(trim($v));});
    
    Jestli to chapu dobre, tak to veskere predane parametry prozene pres funkci trim() a mysql_real_escape_string().

    Tedy ptam se: staci to takhle? A k cemu je tam prosimvas ta promenna $k, ktera se tam nikde dal nepouzije?

    Dekuji

    Odpovědi

    22.1.2015 22:02 Sten
    Rozbalit Rozbalit vše Re: PHP, MySQL a SQL injection
    Pravděpodobně to stačí, ale záleží na tom, jak se s těmi řetězci dále pracuje.

    $k je klíč v tom poli, které se prochází.
    22.1.2015 23:16 Petr Rapouch
    Rozbalit Rozbalit vše Re: PHP, MySQL a SQL injection
    Dekuji!

    Jen jeste prosim o upresneni "co" napriklad, by se s temi retezci mohlo dit, aby vznikl problem?

    Prip. jestli je moznost "to neco" vygrepovat ze zdrojaku, abych se mohl presvedcit, ze se to tam nedeje?

    Ted jsem treba zkousel grepovat, jestli se promenne nepouzivaji v nazvech souboru, ktere se natahuji za behu. A podle vseho nepouzivaji.

    Dekuji za Vas cas
    Jendа avatar 23.1.2015 09:09 Jendа | skóre: 73 | blog: Výlevníček | JO70FB
    Rozbalit Rozbalit vše Re: PHP, MySQL a SQL injection
    Funkční problém vznikne, když řetězec neuložíš do databáze, ale hned vypíšeš klientovi - bude escapovaný. Postupně se takhle třeba při každém editu budou exponenciálně nabalovat backslashe,
    Jen jeste prosim o upresneni "co" napriklad, by se s temi retezci mohlo dit, aby vznikl problem?
    Třeba když se bude dekódovat z urlencode/base64, takže tam můžou vzniknout znaky, které původní escape neviděl. Nebo když se budou dělat nějaké substituce regexpem, takže třeba hacker dokáže aplikaci přinutit, aby smazala backslashe.
    Vox agroferti, vox Dei.
    23.1.2015 20:17 Sten
    Rozbalit Rozbalit vše Re: PHP, MySQL a SQL injection
    Např. pokud ten řetězec uložíte do databáze, příště ho načtete a znovu použijete v SQL. Nebo pokud ho odescapujete, abyste ho mohl zobrazit, a použijete v SQL.
    24.1.2015 10:23 Kit
    Rozbalit Rozbalit vše Re: PHP, MySQL a SQL injection
    Tohle je dobrá ukázka.
    23.1.2015 09:52 Kit | skóre: 37 | Brno
    Rozbalit Rozbalit vše Re: PHP, MySQL a SQL injection
    Správně to není, protože vstupy mají zůstat immutable. Databázi by to však ochránit mělo.

    Funkce mysql_real_escape_string() by se měla použít až těsně před slepením SQL dotazu. Používá se totiž jen pro stringy - na čísla je nutné použít jiný typ ošetření vstupu.
    Komentáře označují místa, kde programátor udělal chybu nebo něco nedodělal.
    Josef Kufner avatar 23.1.2015 10:27 Josef Kufner | skóre: 66
    Rozbalit Rozbalit vše Re: PHP, MySQL a SQL injection
    Jak už bylo řečeno, budou se ti množit lomítka a nemusí to vždy zafungovat.

    Projdi celou aplikaci a uprav to na používání PDO s placeholdery. Měla by to být relativně snadná uprava, pokud si pečlivě připravíš funkci, která bude dobře sedět do stávajícího kódu. Pak můžeš tyto dva ošklivé řádky smazat a aplikace bude bezpečná a funkční.
    Hello world ! Segmentation fault (core dumped)
    23.1.2015 13:55 Filip Jirsák
    Rozbalit Rozbalit vše Re: PHP, MySQL a SQL injection
    Proti jednoduchému SQL injection by to chránit mělo, jak píšou ostatní. Ovšem je to založené na předpokladu, že mysql_real_escape_string parsuje SQL absolutně stejně, jako parser dotazů v MySQL. Takže pořád existuje nepatrná možnost, že budete mít třeba jinak nakonfigurované PHP a jinak MySQL (třeba znakovou sadu), nebo bude nepatrná odchylka v parseru, a útočník dokáže tuto „ochranu“ pokořit. Nebyl by to klasický útok pomocí ';, ale něco sofistikovanějšího.

    Josef Kufner avatar 24.1.2015 16:59 Josef Kufner | skóre: 66
    Rozbalit Rozbalit vše Re: PHP, MySQL a SQL injection
    Jinak přesně tohle kdysi dělaly magic quotes, ale to už naštěstí bylo z PHP odstraněno. Tak se můžeš podívat, proč je nepoužívat – je to i odpověď na tvou otázku.
    Hello world ! Segmentation fault (core dumped)

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.