X   Сообщение сайта
(Сообщение закроется через 3 секунды)



 

Здравствуйте, гость (

| Вход | Регистрация )

2 страниц V   1 2 >
Открыть тему
Тема закрыта
> Регистрация на сайте
Bugnet
Bugnet
Topic Starter сообщение 21.5.2012, 15:42; Ответить: Bugnet
Сообщение #1


Простая регистрация на сайте, ничего лишнего и максимально упрощена интеграция - регистрация
0
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
alexdrob
alexdrob
сообщение 21.5.2012, 16:15; Ответить: alexdrob
Сообщение #2


[PHP]if (isset($_COOKIE['login']) and isset($_COOKIE['password'])and isset($_COOKIE['id']))
{//если есть необходимые переменные то запускаем сессию

$_SESSION['password']=strrev(md5($_COOKIE['password']))."fan345"; //в куках пароль был
//не зашифрованный, а в сессиях будем хранить зашифрованный,добавляем "fan345"[/PHP]
серьёзно?)
я даже не вводя логин и праоль в форму авторизации - зайду на твой сайт под любым логином.
а ещё, если у юзера права grand то я залью любой пхп файл тебе на сайт.

Но вот это особенно порадовало
в куках пароль был не зашифрованный, а в сессиях будем хранить зашифрованный


[PHP]$login = $_SESSION['login'];
$password = $_SESSION['password'];
$result = mysql_query("SELECT id FROM users WHERE
login='$login' AND password='$password' AND activation='1'",$db);
$myrow = mysql_fetch_array($result);
//извлекаем нужные данные о пользователе[/PHP]
просто так при каждом открытии страницы? зачем? оно же уже в сессии)

[PHP]if (!isset($myrow['id']))
print <<<HERE
<a href='#'>Эта ссылка доступна только зарегистрированным пользователям</a>
HERE;
else[/PHP]
А если register_global on; ?

[PHP]//если логин и пароль введены,то обрабатываем их, чтобы теги и скрипты не работали- дополнительно к обработке скриптом
$login = stripslashes($login);
$login = trim($login);
$result3 = mysql_query ("SELECT id FROM users WHERE login='$login'",$db);//извлекаем идентификатор пользователя.
[/PHP]
то же самое что в самом начале сообщения про авторизацию и заливку файла.

Вообщем дальше смотреть не стал, прежде чем советовать юзерам использовать ваш скрипт на сайтах, показали бы людям, что бы вам недочёты назвали, исправили бы их, а потом уже давали его как скрипт для использования.
На текущий момент я сайта с большим количеством дыр ещё не встречал :)
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
Bugnet
Bugnet
Topic Starter сообщение 21.5.2012, 16:39; Ответить: Bugnet
Сообщение #3


Спасибо. Разработка не моя. Всё взято с сайта russeler и немного обрезано лишнее. Все комментарии с оригинала оставлены без изменений. Я виноват, действительно выложил здесь без надлежащего комментария , но с тайным умыслом- хотел узнать настоящую цену всей этой конструкции. Я знал, наверняка, что знающие люди полезут в код и не промолчат.
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
alexdrob
alexdrob
сообщение 21.5.2012, 16:41; Ответить: alexdrob
Сообщение #4


(Bugnet @ 21.5.2012, 19:39) *
Всё взято с сайта russeler

Тогда всё понятно :D Это ж Попова вроде сайт)
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
Vampire_hb
Vampire_hb
сообщение 21.5.2012, 17:49; Ответить: Vampire_hb
Сообщение #5


(alexdrob @ 21.5.2012, 19:41) *
Попова вроде сайт

И что? Он плохой?
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
alexdrob
alexdrob
сообщение 21.5.2012, 20:30; Ответить: alexdrob
Сообщение #6


(Vampire_hb @ 21.5.2012, 20:49) *
И что? Он плохой?

Ну... я например не одного хорошего слова не видел за него, но я с его работами не сталкивался, до этого момента.
Теперь же мне вся стало ясно почему все плохо отзываются.

Сам посуди, вот код, который выложен для юзеров, что бы его использовали для защиты сайта. На самом деле, это очень дырявый код. При соотвествующих правах у юзера БД можно шелл залить и полностью скопировать или удалить сайт ну или напихать вирусов.
Он не то что не защитит сайт а сделает только хуже админу сайта :)
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
Bugnet
Bugnet
Topic Starter сообщение 21.5.2012, 22:39; Ответить: Bugnet
Сообщение #7


(alexdrob @ 21.5.2012, 19:15) *
я даже не вводя логин и праоль в форму авторизации - зайду на твой сайт под любым логином.

Может быть я много прошу, но раз пошла такая жара, может быть " взламаете-войдёте-напихаете" чего хотите. Так сказать "мастер-класс" от alexdrob. Возможно не в этой теме, а в "Web-безопасность (взлом/защита сайтов)". Как Вы на это смотрите? Многим было бы интересно и Ваш "любимый форум" от этого бы, думаю, выиграл.
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
alexdrob
alexdrob
сообщение 21.5.2012, 23:35; Ответить: alexdrob
Сообщение #8


А что там напихивать? Там есть статьи или коменты или езё что?

Почитай о sql injection, учить я не собираюсь как взламывать :) Напрмиер для входа под любым юзером не вводя логина можно сдделать следующие:
создаём куки с именами login, password и id. при чём id может быть пустой а password с любым текстом

далее в куку login пишем что то типа
' or 1 --
в конце пробел
обновляем страницу и мы авторизованы под первм попашимся юзером
или, если нужно под конкретным логином, например под логином админ, если такой есть в системе, то
admin' --

или, под третьим зарегистрированным юзером
' or 1 limit 3, 1 --
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
alexdrob
alexdrob
сообщение 21.5.2012, 23:39; Ответить: alexdrob
Сообщение #9


отрубается проверка JS на вводимые символы при авторизации в консоле хром вот так[JS] $('#inputform').unbind()
[/JS]
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
alexdrob
alexdrob
сообщение 22.5.2012, 0:02; Ответить: alexdrob
Сообщение #10


Я думаю ты же понимаешь что я не знаю пароля юзера с логином Status.
Но авторизация прошла успешно :)

скрин через форму [attachment=38908:Без-имени-2.jpg]

а вот скрипт с входом через куку [attachment=38909:Без-имени-1.jpg]
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
2 страниц V   1 2 >
Открыть тему
Тема закрыта
1 чел. читают эту тему (гостей: 1, скрытых пользователей: 0)
Пользователей: 0


Свернуть

> Похожие темы

  Тема Ответов Автор Просмотров Последний ответ
Горячая тема (нет новых ответов) CryptoCloud — прием USDT, BTC, ETH, LTC на любом сайте
34 CryptoCLoud 10077 18.3.2024, 16:56
автор: CryptoCLoud
Открытая тема (нет новых ответов) Странный трафик на сайте длительное время
26 TABAK 7530 16.3.2024, 17:31
автор: Boymaster
Горячая тема (нет новых ответов) Тема имеет прикрепленные файлыБыстрый и качественный обмен на сайте Baksman.org
Обмен Bitcoin, BTC-e, PM, Qiwi, Yandex money, Карты банк
51 Baksman 33208 15.3.2024, 21:14
автор: Baksman
Открытая тема (нет новых ответов) Алтуально ли заработок на сайте?
Оцение пожалуйста идею
10 hitman20 1780 1.2.2024, 5:37
автор: Liudmila
Горячая тема (нет новых ответов) ВНИМАНИЕ: Тема имеет прикрепленные файлыРегистрация(от 158р), продление(от 158р) доменов. Стабильные, низкие цены от РЕГНИК
Reg.Ru, РегТайм, R01, РуЦентр
121 bum 197096 7.1.2024, 15:49
автор: bum


 



RSS Текстовая версия Сейчас: 29.3.2024, 9:00
Дизайн