Bug Advanced Guestbook 2.2

[Ramk0]

ciao, ho scoperto che questo php guestbook ha un bug, passando una stringa particolare nel campo password si riesce ad entrare nel pannello di amministrazione, io ho questo guestbook, ho modificato il php, inserendo un controllo, controllo se sono presenti caratteri del tipo ()'!=<> ecc cioè si possono usare solo caratteri az, AZ e 09, poi ho modificato il nome del file admin.php in un nome diverso e con dei caratteri casuali, ho modificato il percorso del link administration, ho creato una cartella con un index.php con header("nuovonomeadmin.php"); ed ho aggiunto un .htaccess con una password, posso fare ancora delle cose per aumentare la sicurezza?

[Habanero]

Beh direi che hai già fatto abbastanza...
Più che altro informerei gli sviluppatori del guestbook perchè possano patchare l'sql injection da te scoperto.
Magari ti citano tra i ringraziamenti!

[cso]

Originariamente inviato da Ramk0
posso fare ancora delle cose per aumentare la sicurezza?

Si, cancellare il guestbook

[Ramk0]

Originariamente inviato da Habanero
Beh direi che hai già fatto abbastanza...
Più che altro informerei gli sviluppatori del guestbook perchè possano patchare l'sql injection da te scoperto.
Magari ti citano tra i ringraziamenti!

in realtà non l'ho scoperto io, ma siccome mi sono entrati più volte nel guestbook ho cercato di risolvere il problema dasolo, ho visto che sul sito ufficiale del guestbook ce una versione aggiornata, il problema è stato risolto, ma io preferisco tenermi la mia versione... il problema è che se sono tutti uguali i guestbook ci sono più possibilità che ci rientrano dinuovo se me lo personalizzo è più difficile...

[Habanero]

In linea di massima la cosa da fare SEMPRE è validare l'input dell'utente sia esso fornito tramite POST (input dei form) sia esso fornito indirettamente tramite GET (stringa ?var=xx&var2=yyy dopo l'url)

La validazione è la parte più noiosa della programmazione ma purtroppo se non fatta correttamente è quella che ci puo' dare più problemi.