Администраторская на сайте

[Johnatan]

Цитата:

Сообщение от Web-Gangsta

Да запоролить ее я бы запоролил, только боюсь что все не так сделал бы... Я постепенно учу PHP но мне негде практиковаться, поэтому порой появляются такие глупые вопросы.

З.Ы. Сори за офф топ...

Что значит негде практиковаться? У вас что, на компьютере стоит windows 98? Или вы не можете Apache себе поставить? Умные книжки по PHP есть? Простейшие скрипты как написать знаешь? Алгоритмы программирования знаешь? Ну так вперёд, покорять просторы. Ничего сложного там нет. В PHP тебе не нужно ни о чём заботиться, кроме структуры и правильной реализации алгоритмов. Детский язык вообще. А уж тем более говорить, что практиковаться негде, это вообще ужасть.

[Arigato]

Цитата:

Сообщение от Web-Gangsta

Прошу извинить, представление о том как написать администраторскую, я примерно имею... Ну т.е. поставить там то, что по моему мнению нужно для редактирования и т.п. Мне нужно знать как лучше защитить эту самую администраторскую, как мне избежать дыр, через которые мне могут попортить сайт??? Да, я мог бы поискать в интернете, но мне нужно мнение профессионала, мнение, которое уже проверено и работает. Не хотелось бы мне что бы мне через мою же администраторскую все попортили.

Именно по этой причине я и предложил начать с более простых проектов. В самой по себе админке нет ничего сложного, но не имея полных знаний того, как что устроено, сделать нормальную админку не удастся, она будет дырявая, как решето.
Конечно, Вы можете почитать про то, какие способы взлома существуют, но ценность этой информации без понимания вопроса будет близка к нулю. Писать админку можно будет тогда, когда Вы будете способны наперёд предупредить возможные действия злоумышленника, а для этого нужно знать все самые мельчайшие нюансы.

[Web-Gangsta]

Arigato, однажды я уже писал подобие гостевой книги, т.е. был сайт на нем информация, под информацией комменты, комменты можно было удалять и т.п. Просто я может что-то в PHP уже и знаю, но не могу утверждать что хорошо, просто сам я не могу этого признать, т.к. никто меня не оценивал и опыта мало. Так вот, подобие гостевой книги я уже делал, но вот эта вся тема была создана именно для того, что бы узнать как мне по безопаснее сделать свои скрипты.

[Arigato]

Хорошо, оценим. Вот Вы говорите, что в гостевой можно было удалять комменты, это делал админ или кто?
Приведите часть кода, где речь идёт про удаление комментов.

[Vertexxx]

Чтобы писать наиболее безопасные скрипты, нужно помнить одну программерскую истину: "Всё - ЗЛО, пока не доказано обратное." Намек - проверок много не бывает) всем привет)

[Web-Gangsta]

Цитата:

Сообщение от Arigato

Хорошо, оценим. Вот Вы говорите, что в гостевой можно было удалять комменты, это делал админ или кто?
Приведите часть кода, где речь идёт про удаление комментов.

index.php

PHP код:

<!doctype html public "-//w3c//dtd html 4.01//en" "http://www.w3.org/tr/html4/strict.dtd">
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=windows-1251" />
<title>Title</title>
</head>
<body>
<table style="width:650px; background:#bbbbbb;" cellspacing="0" cellpadding="0" border="0">
<?
    include_once("connect.php");

    $query = "SELECT * FROM comments";
    $res = mysql_query($query) or die(mysql_error());
    while ($row=mysql_fetch_array($res)) {
        echo '<tr><td>';
        echo $row['name'].' '.$row['family'];
        echo '</td></tr><tr><td>';
        echo $row['text'];
        echo '</td></tr>';
    }
            
?>
</table>
<form action="comment.php" method="POST">
<div style="width:150px;  float:left; padding-top:10px;">Имя</div>
<div style="width: 500px; float:none; padding-top:10px;"><input type="text" name="name"></div>
<div style="width:150px; float:left; padding-top:10px;">Фамилия</div>
<div style="width: 500px; float:none; padding-top:10px;"><input type="text" name="family"></div>
<div style="float:none; padding-top:10px;"><textarea  style="width: 650px;" cols="45" rows="15" name="text"></textarea></div>
<div style="float:none; padding-top:10px;"><input style="width: 650px;" type="submit" name="submit" value="Отправить"></div>
</form>
</body>
</html>

comment.php

PHP код:

<?php
include_once("connect.php");

$name = $_POST['name'];
$family = $_POST['family'];
$text = $_POST['text'];

$query = "INSERT INTO comments (name, family, text)
VALUES ('$name', '$family', '$text')";
$result = mysql_query($query) or die(mysql_error());;
header("location: ./");
?>

connect.php

PHP код:

<?php
$dblocation = "localhost";
$dbname = "****";
$dbuser = "****";
$dbpasswd = "****";
$dbcnx = @mysql_connect($dblocation,$dbuser,$dbpasswd);
if (!$dbcnx)
{
echo( "<P> В настоящий момент сервер базы данных не доступен, поэтому корректное отображение страницы невозможно. </P>" );
exit();
}
if (!@mysql_select_db($dbname, $dbcnx))
{
echo( "<P> В настоящий момент база данных не доступна, поэтому корректное отображение страницы невозможно. .</P>" );
exit();
}
?>

... Пример с удалением к сожалению не нашел, если нужно, могу написать заново. )

[Vertexxx]

безопасность в вышеприведенных скриптах отсутствует напрочь. Щас, к сожалению, нет времени расписывать. Ночью поподробнее распишу.

[Arigato]

index.php
Ни как не фильтруются HTML-теги, пиши, что хочешь, хоть JavaScript.
comment.php
SQL-инъекция Вам обеспечена.

Цитата:

Сообщение от Web-Gangsta

... Пример с удалением к сожалению не нашел, если нужно, могу написать заново. )

Не нужно, приведённых примеров хватило.

[Web-Gangsta]

Я все понимаю, да - у меня нет защиты вообще. Так я за этим тему и создал. Мне нужно знать с чего начать, как научиться защищать свои данные и данные посетителей. В интернете полно статей- знаю. Но какая актуальнее? Я просто наткнусь не на ту и из-за этого в дальнейшем мои проекту будут без проблем использоваться по усмотрению, да хоть кого угодно. Мне просто нужны основы...

[Arigato]

Цитата:

Сообщение от Web-Gangsta

Мне нужно знать с чего начать, как научиться защищать свои данные и данные посетителей. В интернете полно статей- знаю. Но какая актуальнее?

Я уже дал Вам совет: освойте связку HTML, CSS, JavaScript, PHP, MySQL так, что бы Вы понимали все нюансы реализации. Сделайте несколько несложных проектов.
Читать какие-то умные статьи без знания основ толку нет. А если Вы будете в совершенстве владеть указанными языками, то и статьи Вам уже не потребуются. Сам никогда не уделял внимания подобным статьям.