Uczę się php i postanowiłem napisać sobie mały system zarządzania treścią i zastanawiam się, co trzeba do niego dodać, aby miał on jakikolwiek sens.
Link: testowanieformularzy.cba.pl
Login: admin
Hasło: admin
Prosiłbym o jakieś sugestie co powinienem dodać.
P.S.
Zachęcam do prób włamania do bazy tak jak po pierwszym dodaniu tego posta.
Zmień hosting bo albo dostaję powiadomienie o AdBlocku albo reklamę, która zasłania formularz logowania -,-
spk, już zmieniam
Strona podatna na XSS
A dałbyś radę dodać poprzez co jest ona podatna na XSS(jeżeli chodzi ci o brak szyfrowania itp., to pamiętaj, że jest to jedynie system do testów, bez żadnego praktycznego zastosowania).
http://pl.wikipedia.org/wiki/Cross-site_scripting
Wiesz jeśli nikt poza tobą nie będzie korzystał z tego panelu to teoretycznie może być sobie podatny na ataki każdego rodzaju. Gorzej jak poza adminem będzie tam ktoś zaglądał - z pewnością znajdzie się ktoś, kto będzie chciał wywalić stronę / podejrzeć zawartość bazy danych. Jeśli pole edycyjne nie filtruje tagów HTML to masz problem bo można podmienić całą zawartość strony. Lepiej uczyć się dobrych praktyk od początku nawet jeśli uważasz, że kwestia bezpieczeństwa ciebie nie dotyczy - z pewnością interesuje to potencjalnych użytkowników. Walidacja jest bardzo ważna spróbuj dodać wpis o loginie <b> zamiast loginu umieścisz znacznik pogrubienia w stronie HTML podejrzyj źródło strony. Dodatkowo jeśli nie zrobisz teraz tego puścisz na produkcję to przy łataniu będziesz musiał zmieniać cały skrypt - nie lepiej zająć się tym od razu?
Mogę wiedzieć w jaki sposób skasowałeś mi permanentnie dane z bazy?
hmmm to nie ja, ale było to łatwe do przewidzenia - bez żadnego filtrowania prawdopodobnie miałeś podatność też na SQL Injection generalnie poczytaj o bezpieczeństwie pisząc w PHP bo to bardzo ważny temat - lepiej teraz niż gdybyś miał się o tym przekonać w gotowej aplikacji.
Ok, nie spodziewałem się, że forumowicze zdążą mi w 5 minut bazę rozwalić :). Czy mówiąc o filtrowaniu tagów html chodziło ci o
htmlspecialchars( $var, ENT_QUOTES, 'UTF-8' );
, bo nie wiem, czy dobrą rzecz wstawiam?
Relevant XKCD: http://xkcd.com/327/
LOL złe hakery skasowały bazę :D