Scoutnet vzw

Hallo, ik ben een leek in al die dingen, heb wel al een paar ideeen hiervoor. Ik heb er al 2 ge-upload maar dan moet je dit installeren en vraag em gegevens. Ik heb al een forum gemaakt. Kan dit dan geen kwaad als je dan nog eens je gegevens van je mysql invult. Sorry maar kweet niet goed hoe ik eht moet uitleggen. Kan iemand me helpen of me eens mailen ( jan.kimpe@pi.be )

Ik probeer je te begrijpen . Ik neem aan dat je ergens een script voor een forum/gastenboek/poll hebt gedownload, en dat nu probeert te installeren. Als hij daarbij naar gegevens (username, wachtwoorden) vraagt, mag je die gewoon geven. Hij heeft ze waarschijnlijk nodig om de nodige tabellen aan te maken in je database, en nadien gebruikt hij ze om de data van die tabellen te kunnen invoeren/updaten/verwijderen. Waarschijnlijk plaatst hij een bestandje met jouw login-gegevens ergens in een map op je Scoutnet-map. Let er wel op dat die gegevens veilig zijn weggeborgen, zodat mensen met minder goede bedoelingen ze niet kunnen opvragen en zo je database vernielen.

To

veilig zijn weggeborgen ?
Sorry als ik tegensteek met mijn vragen hoor

Je checkt best even of iemand anders die gegevens niet zomaar kan opvragen vanuit zijn browser. Bijvoorbeeld: stel dat het script jouw logingegevens bewaart in <i>logingegevens.php</i>, kijk dan even na of iemand op vrij eenvoudige manier jouw loginwachtwoord kan achterhalen. Een hacker zou bijvoorbeeld volgend scriptje kunnen schrijven en uittesten:

Dit is wat vereenvoudigd voorgesteld, maar ik hoop dat je begrijpt wat ik bedoel. Zeker als het een gedownloaded script is (iemand anders kan het ook downloaden en weet dan precies hoe je bestanden en variabelen noemen), moet je hier een beetje mee opletten.

Als je me niet helemaal begrijpt, mail me dan of stuur me een pm met je code, dan kijk ik wel even na of er een gevaar is voor hackers.

To

To wat raad je dan aan?
gewoon iedere keer een include die een verbinding opstart?
en speciale namen gebruiken voor je variables?
en is mysql_close() nodig voor veiligheid?
Ik gebruik zo al nooit gevoelige variables in mijn headers, en globals staat af, maar is er nog meer dat ik kan doen?

Maarten.

Ik denk dat je met de voorstellen die jij doet al niet veel schrik meer moet hebben. Kijk ook eens in het topc mysql passwd bescherming. Wat ik me net afvraag: als ik een php-bestand dat de verbinding opstelt include, kan ik dan eigenlijk zomaar aan de database prutsen (gegevens aanpassen of tabellen deleten)?

Is includen dan niet heel onveilig?

To

Goed gezien van je, maar je mist iets in je redenering. Als je dit:

in je code zet dan gebeurt het volgende:

1. De php parser op scoutnet maakt een http verbinding met scoutskortemark.be, toevallig ook scoutnet. Maar het kon net zo goed een andere server zijn, dit maakt geen verschil. In het vervolg zal ik dus "die webserver" zeggen als ik het over scoutskortemark op scoutnet heb, om het duidelijk te houden.
2. Die webserver reageert door het gevraagde bestand op te halen en ziet dat het een php bestand is.
3. Die webserver start dus de php parser en voert het php-script uit.
4. De output, en dit is belangrijk, de output(!) stuurt die webserver dus door naar naar jouw php-script.

Maar hierbij stopt het nog niet! Nu komt het security gevaar! En niet voor scoutskortemark, maar voor jou, diegene die het bestand include!

5. De php parser heeft dus eindelijk zijn bestand. Maar een eigenschap van php is dat php code in bestanden die geinclude worden wordt uitgevoerd! Dus stel nu dat in het script van scoutskortemark het volgende stond:

Dan staat er dus in de output die JOUW php parser nu gaat uitvoeren:

Nou heb jij ff een probleem zeg. Staat daar in koeien van letters op JOUW site dat Bush een ... is. Vliegt daar meteen de CIA, de FBI en de SecretService door jouw vensterraam!
Nu ja voor het zelfde geld had jij eerder in het script al een db connectie gemaakt en stond er in de output sql code om je hele database te droppen. Minder leuk dus.
Daarom laten de meeste webhosts niet toe om includes te doen op bestanden buiten het eigen domein.


Je hebt wel een heel andere situatie als je die http weglaat...

Hopla

Mesnen dat gaat hier mijn petje te beven zunne

gastenboek en poll staan online