Ciao, in un sito che ho realizzato in collaborazione con altre persone, ho notato dei cambiamenti a nomi di categorie ecc. che ora riportano anzichè "prodotti per cucine" la scritta "hacked by try".
penso si tratti di un attatto hacker al 100%, purtroppo.
volevo chiedervi se avete delle idee in base alla programmazione che è stata fatta.
es:
modifica_categoria.php?cat=22
è la pagina che mi permette di modificare i dati delle categorie e contiene una form i cui dati vengono passati via post alla stessa modifica_categoria.php?cat=22 che vedendo via post la pressione del tasto submit esegue dei controlli sui campi e se sono ok scrive i dati nel database con istruzioni sql.
cosa simile viene fatta per le pagine di inserimento e cancellazione.
c'è sempre una form che richiama la stessa pagina, la quale vedendo il submit premuto esegue i suoi bei controlli e se è il caso salva i dati nel database oppure mostra gli errori.
secondo voi questo modo di operare è facilmente bypassabile dagli hacker?
come si dovrebbe operare se questo nostro modo è errato?
inoltre per la sezione di amministrazione del sito / portale autentichiamo gli utenti con variabili di sessione.
grazia a tutti.
ciao
Rispondi quotando
