Hallo, wie kan mij vertellen hoe je een php script kan beveiligen?
onze streekadvertenties.nl site is gehackt en zijn alles kwijt!!
De hostserver start vandaag de back-up dus zijn we nog ff off-line, maar volgens de host zat er geen enkele beveiliging in het script..
Maar als straks alles weer online staat, dan wil ik hem wel beveiligd hebben...wie kan mij helpen of heeft tips??
Stephan.
stephan@streekadvertenties.nl
aan alle goede dingen komt een eind, webmasterplein.net 2003 - 2013
wij danken jullie voor al mooie momenten die dankzij dit forum ontstonden - Derk, Rutger en Stef
wij danken jullie voor al mooie momenten die dankzij dit forum ontstonden - Derk, Rutger en Stef
script beveiligen?!
43 berichten
• Pagina 1 van 2 • 1, 2
door Anthony » 19 jan 2005 20:16
Dat is nou de vraag, hoe beveilig je een php script.
Volgens mij zorgen dat heel het script bug-vrij is en dat er geen achterpoortjes meer zijn.
Voor meer info geef ik "de tekst" aan iemand anders.
Volgens mij zorgen dat heel het script bug-vrij is en dat er geen achterpoortjes meer zijn.
Voor meer info geef ik "de tekst" aan iemand anders.
-
Anthony - wmpr
- Berichten: 2828
- Geregistreerd: 07 aug 2004 14:05
- Woonplaats: Brugge - België
door advertentie » 19 jan 2005 20:23
hoe hij gehacket is? eh..we hebben dus een advertentie site, van de 1 op andere 1 was de database weg, geen advertenties meer alleen een kale lay-out, volgens de host is de site gehackt, dus zal het wel...de medewerker had nog ff in t script gekeken, en die zij alleen dat er geen beveiliging in zit...verder heb ik er weinig verstand van..van script beveiliging.. 
- advertentie
door Derk » 19 jan 2005 21:47
Ik ken je script niet....
ik kan wel wat onveilige dingen bedenken....
wat stef zegt je invulveldjes....
ik doe dat zo:
$refsitenaam = strtoupper($refsitenaam);
$refsitenaam= strip_tags($refsitenaam);
en dan is refsitenaam de naam van je invulveld.
en iets dat onveilig is is dit
include ($_GET['lokatie']);
op deze manier je pagina's openen
als u geen php kan hoe controleert u dan of u dat laatste op uw site heeft?
als u op welke link u ook klikt u op de pagina blijft waarop u begon.
en dan is het nog niet zeker of u dit gebruikt want er is ook een veilige versie en die is ongeveer zo:
$_GET['lokatie']$lokatie;
if ($lokatie=='pagina1') { $lokatie2=$lokatie }
else if ($lokatie=='pagina2') { $lokatie2=$lokatie }
else if ($lokatie=='pagina3') { $lokatie2=$lokatie }
else { exit("jij vuile hacker!"); }
include ($lokatie2);
enne dat van stef dat doet ' daar een \ voor zetten dat moet in sommige gevallen.
ik kan wel wat onveilige dingen bedenken....
wat stef zegt je invulveldjes....
ik doe dat zo:
$refsitenaam = strtoupper($refsitenaam);
$refsitenaam= strip_tags($refsitenaam);
en dan is refsitenaam de naam van je invulveld.
en iets dat onveilig is is dit
include ($_GET['lokatie']);
op deze manier je pagina's openen
als u geen php kan hoe controleert u dan of u dat laatste op uw site heeft?
als u op welke link u ook klikt u op de pagina blijft waarop u begon.
en dan is het nog niet zeker of u dit gebruikt want er is ook een veilige versie en die is ongeveer zo:
$_GET['lokatie']$lokatie;
if ($lokatie=='pagina1') { $lokatie2=$lokatie }
else if ($lokatie=='pagina2') { $lokatie2=$lokatie }
else if ($lokatie=='pagina3') { $lokatie2=$lokatie }
else { exit("jij vuile hacker!"); }
include ($lokatie2);
enne dat van stef dat doet ' daar een \ voor zetten dat moet in sommige gevallen.
-
Derk - Beheerder
- Berichten: 12634
- Geregistreerd: 27 nov 2003 19:50
- Woonplaats: Houten
door advertentie » 19 jan 2005 21:56
eh..nou ik wil je wel ff wat laten zien, in de hoop dat je me kan vertellen of het veilig is 
onze site wacht nog op een back-up, dus heb ik de index weg gehaalt, omdat de site de database nog mist..maar kijk eens op het volgende url, daar is een invul veldje, er was volgens onze tracker nogal veel data..dit is de url: http://www.streekadvertenties.nl/contact_us.php
is dat nou iets om te hacken??? ik ben maar een leek dusssss wie o wie
onze site wacht nog op een back-up, dus heb ik de index weg gehaalt, omdat de site de database nog mist..maar kijk eens op het volgende url, daar is een invul veldje, er was volgens onze tracker nogal veel data..dit is de url: http://www.streekadvertenties.nl/contact_us.phpis dat nou iets om te hacken??? ik ben maar een leek dusssss wie o wie
- advertentie
door advertentie » 19 jan 2005 22:17
heb je hier wat aan??
</script>
<br><br>
<form method=post onsubmit="return CheckMail();" name=je>
<table width=340 align=center border=0>
<caption align=center><span style="font-size:11; font-family:verdana; color:black; font-weight:bold">Gebruik dit formulier om contact met ons op te nemen!</span></caption>
<tr>
<td>Naam:</td>
<td><input type=text name="u_name" size=42 class="mtext"></td>
</tr>
<tr>
<td>Email:</td>
<td><input type=text name=u_email size=42 class="mtext"></td>
</tr>
<tr>
<td>Onderwerp:</td>
<td><input type=text name=subject size=42 class="mtext"></td>
</tr>
<tr>
<td valign=top>Bericht:</td>
<td><textarea rows=6 cols=41 name=message class="mtext"><?=$_POST[message]?></textarea></td>
</tr>
<tr>
<td> </td>
<td>
<input type=submit name=s1 value="Send" class="sub1">
</td>
</tr>
</table>
</form>
</script>
<br><br>
<form method=post onsubmit="return CheckMail();" name=je>
<table width=340 align=center border=0>
<caption align=center><span style="font-size:11; font-family:verdana; color:black; font-weight:bold">Gebruik dit formulier om contact met ons op te nemen!</span></caption>
<tr>
<td>Naam:</td>
<td><input type=text name="u_name" size=42 class="mtext"></td>
</tr>
<tr>
<td>Email:</td>
<td><input type=text name=u_email size=42 class="mtext"></td>
</tr>
<tr>
<td>Onderwerp:</td>
<td><input type=text name=subject size=42 class="mtext"></td>
</tr>
<tr>
<td valign=top>Bericht:</td>
<td><textarea rows=6 cols=41 name=message class="mtext"><?=$_POST[message]?></textarea></td>
</tr>
<tr>
<td> </td>
<td>
<input type=submit name=s1 value="Send" class="sub1">
</td>
</tr>
</table>
</form>
- advertentie
door advertentie » 19 jan 2005 22:27
oke ik hoop dat dit iets is...
//get the agent info
$q1 = "select * from class_members where MemberID = '$_GET[MemberID]' ";
$r1 = mysql_query($q1) or die(mysql_error());
$a1 = mysql_fetch_array($r1);
if(isset($_POST[s1]))
{
$to = $a1[email];
$subject = $_POST[subject];
$message = $_POST[message];
$headers = "MIME-Version: 1.0\n";
$headers .= "Content-type: text/plain; charset=iso-8859-1\n";
$headers .= "Content-Transfer-Encoding: 8bit\n";
$headers .= "From: $_POST[u_name] <$_POST[u_email]>\n";
$headers .= "X-Priority: 1\n";
$headers .= "X-MSMail-Priority: High\n";
$headers .= "X-Mailer: PHP/" . phpversion()."\n";
mail($to, $subject, $message, $headers);
//get the templates
require_once("templates/HeaderTemplate.php");
require_once("templates/ContactOKTemplate.php");
require_once("templates/FooterTemplate.php");
exit();
}
$MemberName = "$a1[FirstName] $a1[LastName]";
//get the templates
require_once("templates/HeaderTemplate.php");
require_once("templates/ContactTemplate.php");
require_once("templates/FooterTemplate.php");
?>
//get the agent info
$q1 = "select * from class_members where MemberID = '$_GET[MemberID]' ";
$r1 = mysql_query($q1) or die(mysql_error());
$a1 = mysql_fetch_array($r1);
if(isset($_POST[s1]))
{
$to = $a1[email];
$subject = $_POST[subject];
$message = $_POST[message];
$headers = "MIME-Version: 1.0\n";
$headers .= "Content-type: text/plain; charset=iso-8859-1\n";
$headers .= "Content-Transfer-Encoding: 8bit\n";
$headers .= "From: $_POST[u_name] <$_POST[u_email]>\n";
$headers .= "X-Priority: 1\n";
$headers .= "X-MSMail-Priority: High\n";
$headers .= "X-Mailer: PHP/" . phpversion()."\n";
mail($to, $subject, $message, $headers);
//get the templates
require_once("templates/HeaderTemplate.php");
require_once("templates/ContactOKTemplate.php");
require_once("templates/FooterTemplate.php");
exit();
}
$MemberName = "$a1[FirstName] $a1[LastName]";
//get the templates
require_once("templates/HeaderTemplate.php");
require_once("templates/ContactTemplate.php");
require_once("templates/FooterTemplate.php");
?>
- advertentie
door Derk » 19 jan 2005 22:27
ik ben lastig :p
php code begint altijd met <? en eindigt met ?>
dit is het stuk code dat ik niet zomaar uit je site kan jatten via beeld -> bron.
wat jij poste is javascript en dat stuk dat jij poste dat kijkt of je velden leeg hebt gelaten bij het versturen. Ook belangrijk maar word met javascript gedaan.
(ook niet de veiligste manier maar daardoor kan je geen site hacken)
php code begint altijd met <? en eindigt met ?>
dit is het stuk code dat ik niet zomaar uit je site kan jatten via beeld -> bron.
wat jij poste is javascript en dat stuk dat jij poste dat kijkt of je velden leeg hebt gelaten bij het versturen. Ook belangrijk maar word met javascript gedaan.
(ook niet de veiligste manier maar daardoor kan je geen site hacken)
-
Derk - Beheerder
- Berichten: 12634
- Geregistreerd: 27 nov 2003 19:50
- Woonplaats: Houten
- advertentie
door advertentie » 19 jan 2005 22:34
nou..eh..is dit dan wat??
require_once("conn.php");
require_once("includes.php");
if(isset($_POST[s1]))
{
$to = $aset[ContactEmail];
$subject = $_POST[subject];
$message = $_POST[message];
$headers = "MIME-Version: 1.0\n";
$headers .= "Content-type: text/plain; charset=iso-8859-1\n";
$headers .= "Content-Transfer-Encoding: 8bit\n";
$headers .= "From: $_POST[u_name] <$_POST[u_email]>\n";
$headers .= "X-Priority: 1\n";
$headers .= "X-MSMail-Priority: High\n";
$headers .= "X-Mailer: PHP/" . phpversion()."\n";
mail($to, $subject, $message, $headers);
//get the templates
require_once("templates/HeaderTemplate.php");
require_once("templates/ContactUS_OKTemplate.php");
require_once("templates/FooterTemplate.php");
exit();
}
//get the templates
require_once("templates/HeaderTemplate.php");
require_once("templates/ContactUSTemplate.php");
require_once("templates/FooterTemplate.php");
?>
require_once("conn.php");
require_once("includes.php");
if(isset($_POST[s1]))
{
$to = $aset[ContactEmail];
$subject = $_POST[subject];
$message = $_POST[message];
$headers = "MIME-Version: 1.0\n";
$headers .= "Content-type: text/plain; charset=iso-8859-1\n";
$headers .= "Content-Transfer-Encoding: 8bit\n";
$headers .= "From: $_POST[u_name] <$_POST[u_email]>\n";
$headers .= "X-Priority: 1\n";
$headers .= "X-MSMail-Priority: High\n";
$headers .= "X-Mailer: PHP/" . phpversion()."\n";
mail($to, $subject, $message, $headers);
//get the templates
require_once("templates/HeaderTemplate.php");
require_once("templates/ContactUS_OKTemplate.php");
require_once("templates/FooterTemplate.php");
exit();
}
//get the templates
require_once("templates/HeaderTemplate.php");
require_once("templates/ContactUSTemplate.php");
require_once("templates/FooterTemplate.php");
?>
- advertentie
43 berichten
• Pagina 1 van 2 • 1, 2