• User

    Ciao Domenico, 🙂

    grazie della risposta. 🙂

    scusa l'ignoranza, :mmm:

    Basta assegnare i giusti permessi ed il gioco e' fatto ma non tutti lo sanno.

    Intendi i permessi delle cartelle con il comando cmode?

    SQL INJECTION e sicurezza dei file sono problemi oramai noti, ad esempio guardate qui: http://webcam.sis.edu.hk/view/view.shtml facendo una ricerca per le webcam axis ho beccato questa scuola

    Vuoi dire che questa web cam che hai beccato dovrebbe essere accessibile solo con autorizzazione?

    A proposito di sql injection ci sono centinaia di siti che presentano questo bug, il piu' grosso che ho beccato e segnalato subito e' stato godado.

    Questo è un'argomento che mi spaventa non poco, girando su vari forum, specie quelli legati a PHP-NUKE ho potuto riscontrare che ci sono tantissimi portali, specialmente di piccole dimensioni e poco importanti, fatti oggetto di questo gioco disonesto, che non ha presumibilmente nessun'altra motivazione se non quella di fare i dispetti come i bambini.

    La soluzione probabilmente c'è ma io non sono riuscito ad avere informazioni precise, :bho: quindi sono in alto mare. :bho:

    Tu, puoi spiegarmi, magari con i disegnini, :lol: cosa bisogna fare in concreto per difendersi da certi deficienti? :bho:

    :ciauz: grazie :ciauz:


  • User Attivo

    Ciao,
    io lavoro su server Win, presumo che sul Linux (anche se si chiamano CHMOD o come si scrive) sia la stessa cosa ma non ne sono sicuro.

    Se debba essere protetta non lo so, pero' e' stato facile trovarla con google e chissa quante altre ce ne sono di interessanti :yuppi:

    Non credo che la sql injection sia un qualcosa di disonesto, e' un bug arcinoto della sintassi SQL. In asp basta fare un replace delle varibili.

    Ti passo questo link (e ne approfitto per fare un po' di SPAM :fumato:😞 http://www.telospiego.it/asp/tutorial_asp_evitare_sql_injection.asp .

    Domenico


    [url=http://www.fast-adv.it]Guadagnare con un sito Web (oltre 20 diverse soluzioni)
    [url=http://www.vendita-hardware.com/lettera_a.asp]Vendita Hardware
    [url=http://www.pixelab.it]Sviluppo siti Web, E-Commerce, portali, CMS e piattaforme B2B e B2C


  • User

    @emmebar said:

    intanto mi viene in mente questa:

    Non lasciamo mai una directory nel sito senza la pagina di default (index.htm
    o simile).

    questo indirizzo

    www.miositox.xxx/dir/dir/index.htm

    come tutti sappiamo fa vedere index.htm

    questo indirizzo

    www.miositox.xxx/dir/dir/

    se esiste una index.htm fa vedere quella

    se non esiste una index.htm o comunque una pagina di default fa vedere
    il contenuto della directory.

    Personalmente metto sempre una index.htm anche nelle Dir dove non mi serve, ad esempio dove metto le immagini oppure il codice , proprio per evitare questa cosa.

    Ciao Emmebar, 🙂

    questo tuo consiglio, l'avevo gia sentito ma ( incautamente ) non lo ho mai preso in considerazione.

    Adesso ho inserito in tutte le dir la pagina index.

    Avrei una domanda, per chi sa rispondermi:

    Ci sono alcune directory con un file index.php in queste non ho inserito la index.htm supponendo fosse un errore.

    Ho fatto giusto? Oppure si può inserire tranquillamente?

    :ciauz: Grazie :ciauz:


  • User

    Ciao Domenico, 🙂

    @Fast-Adv.it said:

    Ciao,
    io lavoro su server Win, presumo che sul Linux (anche se si chiamano CHMOD o come si scrive) sia la stessa cosa ma non ne sono sicuro.

    Si si, hai proprio ragione, si scrive cosi, sono io che mi sono mangiato le lettere. 😄

    Non credo che la sql injection sia un qualcosa di disonesto, e' un bug arcinoto della sintassi SQL. In asp basta fare un replace delle varibili.

    E' senz'altro disonesto l'uso che ne fanno certi bimbi con molta cognizione ma poca intelligenza. :arrabbiato:

    Si può considerare intelligente uno che mette fuori uso un sito solo per il gusto di farlo? Sarebbe come considerare intelligente chi sfregia una macchina solo per il gusto di farlo. :bho:

    Ti passo questo link (e ne approfitto per fare un po' di SPAM 😞 http://www.telospiego.it/asp/tutorial_asp_evitare_sql_injection.asp .

    Grazie per il consiglio, ma il mio sito è in php. Comunque, mi hai dato l'opportunità di visitare il tuo nuovo sito, complimenti, mi pare ben fatto e molto utile. Lo ho aggiunto ai preferiti. 😉

    :ciauz:


  • Community Manager

    @frabibbo said:

    Comunque, mi hai dato l'opportunità di visitare il tuo nuovo sito, complimenti, mi pare ben fatto e molto utile. Lo ho aggiunto ai preferiti. 😉
    :ciauz:

    Quoto :bravo:


  • User Attivo

    Mi avete fatto emozionare 😢

    Mi sono informato sul come si faccia in php, e questo codice dovrebbe andare bene ($username e' la varibiale su cui viene memorizzato il dato recuperato dal modulo):

    
    if (stristr($username,"=")) {
    header("location: pagina di login");
    } 
    
    

    Domenico


    [url=http://www.fast-adv.it]Guadagnare con un sito Web (oltre 20 diverse soluzioni)
    [url=http://www.vendita-hardware.com/lettera_a.asp]Vendita Hardware
    [url=http://www.pixelab.it]Sviluppo siti Web, E-Commerce, portali, CMS e piattaforme B2B e B2C


  • User Attivo

    A proposito di sicurezza e del mio sito, vi segnalo questo articolo sulla sicurezza non strettamente legato alle pagine web ma di sicuro interesse visti i programmi citati: http://www.telospiego.it/news/articolo.asp?id=008

    Domenico


    [url=http://www.fast-adv.it]Guadagnare con un sito Web (oltre 20 diverse soluzioni)
    [url=http://www.vendita-hardware.com/lettera_a.asp]Vendita Hardware
    [url=http://www.pixelab.it]Sviluppo siti Web, E-Commerce, portali, CMS e piattaforme B2B e B2C


  • User

    @Fast-Adv.it said:

    Mi avete fatto emozionare 😢

    Mi sono informato sul come si faccia in php, e questo codice dovrebbe andare bene ($username e' la varibiale su cui viene memorizzato il dato recuperato dal modulo):

    
    if (stristr($username,"=")) {
    header("location: pagina di login");
    } 
    
    

    Domenico


    [url=http://www.fast-adv.it]Guadagnare con un sito Web (oltre 20 diverse soluzioni)
    [url=http://www.vendita-hardware.com/lettera_a.asp]Vendita Hardware
    [url=http://www.pixelab.it]Sviluppo siti Web, E-Commerce, portali, CMS e piattaforme B2B e B2C

    Ciao Domenico; 🙂

    noto con piacere che sei sempre pronto a correre in aiuto. 😉

    Però ho bisogno di un altro aiuto, 😞

    questo codico come funziona? :mmm: E dove lo metto? :mmm:

    Scusa l'ignoranza ma il php non lo conosco bene :bho:

    :ciauz: Grazie :ciauz:


  • User Attivo

    Io di php ne so meno di te, la logica di funzionamento e' comunque simile ad asp.

    La SQL Injection si ha in presenza di moduli (sopratutto moduli usati per il login). Mediante l'inserimento di una stringa (' or ''=' ) si ha pieno accesso all'area utente del primo utente iscritto, o se si conoscere l'username a qualunque utente (questo giusto per fare un piccolo esempio, poi si puo' utilizzare in varie forme su piu' o meno tutti i form che si interfacciano a db).

    Mettiamo per assurdo di avere questo form di ricerca:

    
    <form method=post action=pagina.asp>
    <input type="text" name="username">
    <input type="Submit" value="Invia">
    </form>
    
    

    Quando andiamo a recuperare (in php non so come si faccia) il valore passato, tale valore sara' associato ad una variabile (nel caso del codice php postato in precedenza la variabile si chiamera' $username) ed una volta eseguita questa operazione si esegue un controllo.

    Se tale controllo restituisce TRUE e quindi i dati sono presenti, l'utente viene indirizzato in una pagina di errore (o comunque una pagina a scelta dello sviluppatore), altrimenti il codice continua ad eseguire le sue operazioni.

    Mi pare che Giorgio un po' di php lo mastica, magari lui puo' aiutarti piu' di me, o ancora meglio ti conviene fare due cose (evviva lo SPAM):

    1. posti nella sezione php di questo forum;
    2. posti nella sezione php del forum di telospiego. :yuppi:

    Se invece decidi di cambiare e passare ad ASP, io orientativamente sia di qua che di la (fa fico sto di la :fumato:) posso aiutarti nel limite delle mie possibilita' senza alcun problema 🙂

    Domenico


    [url=http://www.fast-adv.it]Guadagnare con un sito Web (oltre 20 diverse soluzioni)
    [url=http://www.vendita-hardware.com/lettera_a.asp]Vendita Hardware
    [url=http://www.pixelab.it]Sviluppo siti Web, E-Commerce, portali, CMS e piattaforme B2B e B2C


  • User

    Grazie Domenico, 🙂 sei molto gentile, 🙂

    cambiare da php ad asp è per me una cosa impensabile dopo avere lavorato cosi tanto per costruire questo sito.

    In verità, non ho avuto bisogno di mettere molto le mani nel codice perchè ho usato un cms open source già belle pronto, ma qualche modifica ed implementazione l'ho dovuta fare e quindi ho potuto imparare, un pochino, 😞 il concetto di funzionamento.

    Adesso ricominciare da capo, non me la sento proprio. 😞

    Comunque seguirò il tuo consiglio per la sezione php. 😉

    :ciauz: