Ciao a tutti.
E' da un po' ke mi pongo alcune domande sulla sicurezza dei siti (riferendomi ovviamente ad attakki hacker).
Sto sviluppando un sito in flash ke interroga un database mysql tramite query php, devo far attenzione a qualcosa in particolare?
Se eliminiamo l'impossibile, quello ke resta, per quanto improbabile, deve essere la verità.
[Spok]
beh...direi che cosi rischi di avere perforato il sito in tempo zero...
basta che io che mi accorgo che il tuo script flash fa questo...ovvero manda vere e proprie query alla pagina php allora disassemblo l'swf, recupero l'url, vedo che parametri passi ... et waila, t'ho fritto
user e pass non servirebberò xche con uno sniffer o dal codice flash si trovano subito
VM su SSD da 5$! https://www.digitalocean.com/?refcode=f6925c7f0ddb
se da flash viene richiamato il file .php (ad esempio con loadVars() ) che effettua la query non penso ci siano tanti problemi...
regalami un oggi da favola...e il domani bhe!?non mi importa se tu 6 con me! ©Ily
Ciao,
se le query vengono eseguite da PHP e user/pass si trovano sul lato Php non hai problemi di alcun tipo.
Basta che tu tenga presente che non devi far stampare a PHP dati più riservati di quelli che gli faresti stampare se stessi costruendo una qualunque pagina HTML.
Se di una pagina HTML si vede il sorgente di solito non ti preoccupi no?
per favore NIENTE PVT TECNICI da sconosciuti
mi riferivo ad un'altra cosaOriginariamente inviato da Fabio Heller
Ciao,
se le query vengono eseguite da PHP e user/pass si trovano sul lato Php non hai problemi di alcun tipo.
Basta che tu tenga presente che non devi far stampare a PHP dati più riservati di quelli che gli faresti stampare se stessi costruendo una qualunque pagina HTML.
Se di una pagina HTML si vede il sorgente di solito non ti preoccupi no?
al fatto che se invia in blocco la query al file PHP...e invii anche un user ed una pass, anche crittati, basta decompilare il file swf o usare uno sniffer e leggi la stringa che mandi e poi so cavoli amari :\\\
VM su SSD da 5$! https://www.digitalocean.com/?refcode=f6925c7f0ddb
Sì ma se mandi query, user e pass da flash a php te la cerchi di farti bucareOriginariamente inviato da daniele_dll
mi riferivo ad un'altra cosa
al fatto che se invia in blocco la query al file PHP...e invii anche un user ed una pass, anche crittati, basta decompilare il file swf o usare uno sniffer e leggi la stringa che mandi e poi so cavoli amari :\\\
Originariamente inviato da Broly
Sì ma se mandi query, user e pass da flash a php te la cerchi di farti bucaremeglio dire in + che in meno...
Sto sviluppando un sito in flash ke interroga un database mysql tramite query php, devo far attenzione a qualcosa in particolare?
VM su SSD da 5$! https://www.digitalocean.com/?refcode=f6925c7f0ddb
Sì l'avevo capitoOriginariamente inviato da daniele_dll
mi riferivo ad un'altra cosa
al fatto che se invia in blocco la query al file PHP...e invii anche un user ed una pass, anche crittati, basta decompilare il file swf o usare uno sniffer e leggi la stringa che mandi e poi so cavoli amari :\\\
Ma la prassi standard (l'unica sicura infatti) è lasciare username/password e la costruzione delle query sul lato-server.
Flash invia PHP solo quello che verrebbe inviato tramite una normale pagina HTML, cioè dati in GET e POST
per favore NIENTE PVT TECNICI da sconosciuti
E' esattamente così.Originariamente inviato da Fabio Heller
Ciao,
se le query vengono eseguite da PHP e user/pass si trovano sul lato Php non hai problemi di alcun tipo.
Basta che tu tenga presente che non devi far stampare a PHP dati più riservati di quelli che gli faresti stampare se stessi costruendo una qualunque pagina HTML.
Da flash rikiamo delle query inviando dei parametri alle query stesse,
esempio, invio l'ID e la query mi stampa tutti i risultati ke hanno quell'ID;
in flash leggo quei risultati e li piazzo dentro a dei campi di testo.
Tutti i dati sono di pubblico dominio nel senso ke non ricevo o invio ne password ne username.
Nessuna query mi va a scrivere nel database.
Le query poi hanno un file incluso ke pesca i parametri di connessione al database.
Io credo ke non dovrei avere problemi ma siccome non si sa mai, preferisco kiedere a ki ne sa più di me
Vorrei kiedervi a proposito:
questo è il mio primo server Linux e so ke su questo sitema esiste l'htaccess ke dovrebbe avere la funzione di proteggere il contenuto delle directory (sbaglio?). Non ne so molto a proposito.
Il mio sito risiede su server Aruba;
devo fare qualcosa o di default va tutto bene così com'è?
Se eliminiamo l'impossibile, quello ke resta, per quanto improbabile, deve essere la verità.
[Spok]
Era una battuta/constatazione, non è mica il caso che ti offendiOriginariamente inviato da daniele_dll
meglio dire in + che in meno
Permessi di invio
Rispondi quotando