29.10.2010, 17:04 | #1 |
Специалист
Регистрация: 12.11.2009
Сообщений: 265
Вес репутации: 192
|
SQL инъекция - лечится ли редиректом?
У меня есть сайт - портал трудоустройства. Ссылки не продает, весь белый и пушистый. Сделан действительно для людей, так как когда в кадрах работала, знала, что очень мало хороших сайтов с бесплатным размещением вакансий. Сделан он на покупном движке от товарища nevius.
Мне прислали письмо - типа БАГ на вашем сайте. Кто прислал и зачем - остается загадкой. Но там сказано - вот по такой-то ссылке видны все ваши пользователи (логин - пароль). Я попросила своего прогера посмотреть. он говорит - это какая-то sql инъекция. И сделал редирект с этого адреса на морду. Но! Мой интеллект не дает мне покоя - разве это решение проблемы? Разве не могут быть еще какие-то такие адреса страниц, где будет то же самое выводиться? Гуру, дайте совет - как с этим бороться, а то мне кажется, что меня обманывают и просто не хотят заморачиваться.
__________________
|
29.10.2010, 17:17 | #3 |
Специалист
Регистрация: 12.11.2009
Сообщений: 265
Вес репутации: 192
|
freefess, что конкретно ему сказать? Сделай фильтрацию запросов? Я щас не могу все четко контролировать, поэтому все расслабляются. Решили проблему так, чтобы я больше не доставала. Я читаю, что это такое и то, что я читаю наводит меня на мысль, что сделано что-то неправильно. Что конкретно я должна ему сказать? Вот что меня интересует. Как сложно это сделать, какую премию ему пообещать?
__________________
|
29.10.2010, 17:32 | #5 |
Специалист
Регистрация: 24.08.2009
Адрес: Воронеж
Сообщений: 170
Вес репутации: 191
|
Сделать - не очень сложно. Материала по защите от sql инъекций в сети навалом. Если хотите - давайте в привате подробнее распишу.
Добавлено через 1 минуту И да, какая премия? Прогер обязан делать защиту от инъекций и обязан дырки латать нормально, а не редиректом)) Последний раз редактировалось freefess; 29.10.2010 в 17:32. Причина: Добавлено сообщение |
29.10.2010, 17:36 | #6 |
Специалист
|
Я так думаю, register_globals выключен, проверить это, если включен выключить и переписать так, чтобы данные брались из $GET и $POST. Все переменные с входящими данными фильтровать, например, есть переменная $user, в которой могут быть только буквы и цифры, вот сделать фильтр, который проверяет наличие других символов, если они присутствуют, то выдавать ошибку или редиректить на 404 и так со всеми этими переменными.
|
29.10.2010, 17:36 | #7 |
Специалист
Регистрация: 12.11.2009
Сообщений: 265
Вес репутации: 192
|
gun, у него оклад 15 тыр. остальное - % с создания сайтов. в оклад входит работа над сайтом фирмы. А этот сайт - мой личный. И никакого отношения к фирме не имеет. Я могу либо попросить, либо оплатить. Попросила - решил проблему редиректом. Могу попросить другого, но не хочу весь отдел ставить в известность. Этот на особых условиях. Поэтому готова ему оплатить, только не знаю, насколько это сложно и что именно его попросить. Он работает по типу - дай задачу, сделаю. А я задачу не могу сформулировать. По сумме я планирую уложиться от 5 до 10 тыр. Но его обижать нельзя, поэтому и хочу мнения именно программистов услышать.
Я его понимаю - на нем сложный проект и он просто не хочет личное время тратить, чтобы разбираться в моих проблемах. Хочу деталей: сколько это стоит и что конкретно ему сказать сделать? Я с ним пока не обсуждала своих опасений по поводу того, что он неправильно решил эту проблему.
__________________
|
29.10.2010, 17:48 | #8 |
Добрый модератор
Регистрация: 09.07.2007
Адрес: глобус Украины
Сообщений: 27,600
Вес репутации: 1025
|
natasha, не видя кода трудно сказать, что конкретно нужно сделать
Добавлено через 15 секунд и тем более, сколько єто может стоить.
__________________
Правильный хостинг. В личке бесплатно не отвечаю обычно. Последний раз редактировалось zhegloff; 29.10.2010 в 17:48. Причина: Добавлено сообщение |
29.10.2010, 17:52 | #9 |
Эксперт
Регистрация: 17.11.2009
Адрес: Донбасс
Сообщений: 1,481
Вес репутации: 234
|
Логин и пароль? Вы пароли не хешируете чтоль? Думаю что там всёаки Логин и хеш пароля. Хеш пароля, в принципе, ничего злоумышленнику не даёт, так что "дыра" вовсе не "дыра", а так - некритический недосмотр разрабов имхо, который не влечёт ничего серьёзного.
ЗЫ. Яндекс у всех не пашет?
__________________
|
29.10.2010, 17:59 | #10 |
Специалист
Регистрация: 12.11.2009
Сообщений: 265
Вес репутации: 192
|
zhegloff, я не хочу никому светить сайт. могу засвеить аналог На этом движке много сайтов сделано по трудоустройству. Но есть же максимум? Я готова заплатить максимум. Мне этот сайт очень важен, так как меня кадровики по всей стране знают, и знают, что я его владелец. Я до сих пор посещаю все кадровые менеджменты и прочие фигни, связанные с рекрутингом. Оттуда беру много клиентов - меня лично знают. И облажаться мне нельзя - не имею права. А у рекрутеров свои заморочки - они перестанут доверять и размещаться, и мне заодно.
А в перспективе я хочу опять кадрами заниматься, так как не гоже это с мужем одним делом заниматься. Добавлено через 3 минуты a112, да я попробовала - все заходится по паролю и логину. Мне муж сказал - мы тебе переделаем весь сайт - напишем на нашем движке. Но я то знаю, сколько это займет по времени. Я же написала - движок покупала. Дизайн к нему еле прикрутили. Все аналогичные сайты просто страшные, а мой - красавец. Сразу и не поймешь, что на этом движке построен.
__________________
Последний раз редактировалось natasha; 29.10.2010 в 17:59. Причина: Добавлено сообщение |
|
|
Похожие темы | ||||
Тема | Автор | Раздел | Ответов | Последнее сообщение |
SQL инъекция - вопрос кул хацкерам | Jimi Dini | Разработка и сопровождение сайтов | 10 | 19.09.2010 00:07 |
Господа! А это что за фильтр и как лечится? | sergey_zherdev | Яндекс | 2 | 17.07.2010 22:07 |
Обман с редиректом | omsk777 | Вопросы по работе системы | 29 | 07.04.2009 01:35 |
Сайты с редиректом | Alena77 | Вопросы по работе системы | 1 | 25.06.2008 12:33 |
Лечится ли снобизм? | datot | Вопросы по работе системы | 24 | 26.01.2008 19:26 |
Часовой пояс GMT +3, время: 02:37.