• новости
• статьи
• п.о.
• мнения
• ссылки
• о проекте

Реклама

-- АРХИВЫ -- Август 2015 Июль 2015 Июнь 2015 Май 2015 Апрель 2015 Март 2015 Февраль 2015 Январь 2015 Декабрь 2014 Ноябрь 2014 Октябрь 2014 Сентябрь 2014 Август 2014 Июль 2014 Июнь 2014 Май 2014 Апрель 2014 Март 2014 Февраль 2014 Январь 2014 Декабрь 2013 Ноябрь 2013 Октябрь 2013 Сентябрь 2013 Август 2013 Июль 2013 Июнь 2013 Май 2013 Апрель 2013 Март 2013 Февраль 2013 Январь 2013 Декабрь 2012 Ноябрь 2012 Октябрь 2012 Сентябрь 2012 Август 2012 Июль 2012 Май 2012 Апрель 2012 Март 2012 Февраль 2012 Январь 2012 Декабрь 2011 Ноябрь 2011 Октябрь 2011 Сентябрь 2011 Август 2011 Июль 2011 Июнь 2011 Май 2011 Апрель 2011 Март 2011 Февраль 2011 Январь 2011 Декабрь 2010 Ноябрь 2010 Октябрь 2010 Сентябрь 2010 Август 2010 Июль 2010 Июнь 2010 Май 2010 Апрель 2010 Март 2010 Февраль 2010 Январь 2010 Декабрь 2009 Ноябрь 2009 Октябрь 2009 Сентябрь 2009 Август 2009 Июль 2009 Июнь 2009 Май 2009 Апрель 2009 Март 2009 Февраль 2009 Январь 2009 Декабрь 2008 Ноябрь 2008 Сентябрь 2008 Август 2008 Июль 2008 Июнь 2008 Май 2008 Апрель 2008 Март 2008 Февраль 2008 Январь 2008 Декабрь 2007 Ноябрь 2007 Октябрь 2007 Сентябрь 2007 Август 2007 Июль 2007 Июнь 2007 Май 2007 Апрель 2007 Март 2007 Февраль 2007 Январь 2007 Декабрь 2006 Ноябрь 2006 Октябрь 2006 Сентябрь 2006 Август 2006 Июль 2006 Июнь 2006 Май 2006 Апрель 2006 Март 2006 Февраль 2006 Январь 2006 Декабрь 2005 Ноябрь 2005 Октябрь 2005 Сентябрь 2005 Август 2005 Июль 2005 Июнь 2005 Май 2005 Апрель 2005 Март 2005 Февраль 2005 Январь 2005 Декабрь 2004 Ноябрь 2004 Октябрь 2004 Сентябрь 2004 Июнь 2004 Май 2004 Апрель 2004 Декабрь 2003 Март 2003 Февраль 2003 Октябрь 2002 Сентябрь 2002    Архив сайта
  

Поиск

Допускается использование ключевых слов AND, OR и NOT.

Обсуждения

• Google: бесплатный антивирус для всех желающих (22)
• "Мамба" удалила десятки миллионов анкет (184)
• Компания «Google» провела ребрендинг логотипа и меню (1)
• Растолкованный PageRank (Часть 5) (1)
• "Сам себе режиссер" - теперь и в Интернете (302)
• Сервисом Apple Music пользуются 11 млн человек (1)
• В России появится аналог eBay и Amazon (1)
• Браузеры: Вышел Internet Explorer 7 Beta 2 (5)
• Теперь создать социальную сеть сможет каждый (174)
• В России более 700 сайтов может быть заблокировано (2)

Статьи

• 12.02.06 CMS с desktop-клиентом - за и против (Часть 2)
• 11.02.06 CMS с desktop-клиентом - за и против (Часть 1)
• 11.02.06 JavaScript и объектная модель (Окончание)
• 10.02.06 JavaScript и объектная модель (Начало)
• 09.02.06 Направления развития веб-технологий в 2006 году (Окончание)

Программы

• 02.02.06 Браузеры: Вышел Internet Explorer 7 Beta 2
• 02.12.05 Популярный браузер Mozilla Firefox обновился до версии 1.5
• 13.07.05 PHP 4.4.0
• 30.06.05 Nvu 1.0
• 17.06.05 OptiPerl 5
• 09.06.05 MSN Search Toolbar
• 24.05.05 mod_perl 2.0.0
• 20.05.05 Netscape 8
• 19.04.05 Opera 8
• 13.04.05 ActiveState Komodo 3.1

Ноябрь 2, 2005

Приемы безопасного веб-программирования на PHP (Часть 4)

Упомянутая ошибка, между прочим, очень распространена среди начинающих и невнимательных программистов.

Когда-то я сам поймался на эту удочку - по счастью, особого вреда это не принесло, не считая оставленных хакером в новостной ленте нескольких нецензурных фраз.

Итак, раскрываю секрет: допустим, хакер вводит заведомо несуществующее имя пользователя и пустой пароль. При этом в результате выборки из базы переменная $rpassword принимает пустое значение. А алгоритм шифрования паролей при помощи функции СУБД MySQL Password(), так же, впрочем, как и стандартный алгоритм Unix, при попытке шифрования пустого пароля возвращает пустое значение. В итоге - $password == $rpassword, условие выполняется и взломщик получает доступ к защищенной части приложения. Лечится это либо запрещением пустых паролей, либо, на мой взгляд, более правильный путь - вставкой следующего фрагмента кода:

if (mysql_numrows($result) != 1) {
Header("HTTP/1.0 401 Auth Required");
Header("WWW-authenticate: basic realm=\"My Realm\"");
exit;
}

То есть - проверкой наличия одного и только одного пользователя в базе. Ни больше, ни меньше.

Точно такую же проверку на авторизацию стоит встроить и в скрипт admin2.php. По идее, если пользователь хороший человек - то он приходит к admin2.php через admin1.php, а значит, уже является авторизованным и никаких повторных вопросов ему не будет - браузер втихомолку передаст пароль. Если же нет - ну, тогда и поругаться не грех. Скажем, вывести ту же фразу "hacker? he-he...".

К сожалению, не всегда удается воспользоваться алгоритмом авторизации через код 401 и приходится выполнять ее только средствами приложения. В общем случае модель такой авторизации будет следующей:
Пользователь один раз авторизуется при помощи веб-формы и скрипта, который проверяет правильность имени и пароля.
Остальные скрипты защищенной части приложения каким-нибудь образом проверяют факт авторизованности пользователя.

Такая модель называется сессионной - после прохождения авторизации открывается так называемая "сессия", в течение которой пользователь имеет доступ к защищенной части системы. Сессия закрылась - доступ закрывается. На этом принципе, в частности, строится большинство www-чатов: пользователь может получить доступ к чату только после того, как пройдет процедуру входа. Основная сложность данной схемы заключается в том, что все скрипты защищенной части приложения каким-то образом должны знать о том, что пользователь, посылающий данные, успешно авторизовался.

Разместил:

Автор:

Комментарии

1. 08.12.05 20:27 От: Dons

= )

Ваш комментарий

Обсудить на форуме?

Подумайте, прежде чем высказать своё мнение. Постарайтесь сделать свой комментарий полезным для других. Не используйте ненормативную лексику. Пользователи, пишущие "от нечего делать" бессмысленные наборы символов, будут блокироваться навсегда.

Имя:
Комментарий:
Цифровой код:
	Уверены?

Скачать приложение казино

©2002-2007 NBSP.RU
Все права защищены.   |   Ссылки, Полезные заметки