Приветствуем на Форум Херсона. Форум Херсонской молодежи.. На данный момент Вы находитесь на форуме как Гость и имеете очень ограниченные возможности и права. Что бы писать или отвечать в темах, загружать картинки, файлы на форуме Вам нужно зарегистрироваться, что совершенно бесплатно. Регистрация очень быстрая, не откладывайте эту процедуру! Если возникнут проблемы с регистрацией напишите нам. |
|
Программирование Все вопросы по написанию программ |
|
Опции темы |
23.08.2011, 12:39 | #1 (Ссылка на пост) |
Свой В Доску
Пол:
|
защита формы
Сайт из себя представляет просто "точку входа", где будут размещены кнопки-картинки для перехода на другие полноценные сайты, расположенные на поддоменах.
Соответственно этот сайт не имеет базы данных вообще, написан на яваскрипте (для всевозможных эффектов-заморочек). И ещё туда решил втулить форму обратной связи, которая будет слать письмо на e-mail. Так вот, вопрос следующий. От чего мне нужно в данном случае обезопасить форму? Ну то есть MySQL-инъекции не страшны, так как своей базы данных сайт не имеет, о чем я уже писал. От каких хитрых штук мне нужно сделать защиту? |
|
23.08.2011, 14:37 | #2 (Ссылка на пост) | ||||||||
Модератор
Пол:
Благодарил(а): 30,810
Благодарили 37,603 раз в 8,037 постах
Галерея:
0
Вес репутации: 401
|
сперва от спама защитись
__________________
Нужно делать так, как нужно. А как не нужно, делать не нужно. |
||||||||
|
Сказали Спасибо пользователю ustas за этот пост: | Lihatskiy (23.08.2011) |
23.08.2011, 17:19 | #3 (Ссылка на пост) |
Свой В Доску
Пол:
|
каптча - обязательно, это да.
я имею ввиду через разные инъекции какой опасности подвергается сайт, если он не имеет базы данных? |
|
23.08.2011, 17:27 | #4 (Ссылка на пост) |
забанен
Мой дневник
Пол:
|
ну джаваскрипт резать - а то письмецо откроешь, а оно редикнуть можеть на нужный сайт или куки спионерить (зависит от безтолковости почтовика)
__________________
|
|
Сказали Спасибо пользователю pingwinator за этот пост: | Lihatskiy (23.08.2011) |
23.08.2011, 17:58 | #5 (Ссылка на пост) |
Свой В Доску
Пол:
|
думаю gmail.com достаточно толковый почтовик.
меня больше интересует на стороне сервера лежащим файлам ничего не угрожает? то есть имеются ли возможности удаления файлов через форму? |
|
23.08.2011, 18:42 | #6 (Ссылка на пост) | |||||||||
Уже сменил себе статус
Пол:
Благодарил(а): 3,844
Благодарили 1,942 раз в 919 постах
Галерея:
0
Вес репутации: 40
|
Цитата:
Почесав затылок, юзер дописал через 30 секунд А скрипт нужно резать всёравно, и не надеятся на гмейл. Последний раз редактировалось PhoeniXX, 23.08.2011 в 19:03. |
|||||||||
|
Сказали Спасибо пользователю PhoeniXX за этот пост: | Lihatskiy (23.08.2011) |
23.08.2011, 20:45 | #7 (Ссылка на пост) |
Свой В Доску
Пол:
|
можно подробнее об "резать скрипт"?
хочу реализовать максимум функционала на яваскрипте, чтоб работало без перезагрузки и с красивыми эффектами. если фильтровать данные при помощи регулярных выражений, будет достаточно безопасно? |
|
23.08.2011, 22:09 | #8 (Ссылка на пост) | ||||||||
Уже сменил себе статус
Пол:
Благодарил(а): 3,844
Благодарили 1,942 раз в 919 постах
Галерея:
0
Вес репутации: 40
|
можно вырезать теги <script>, но здесь есть разные варианты того как они указаны, ведь так тег может рендериться по кускам через document.write.
самый простой способ, это в том месте на сервере куда прийдут данные этой формы - энкодить все то что пришло, тобишь заменять все html entity (<,&, >,etc) на их соответсвтующие коды. Тогда в случае XSS - в письме просто будет текстом теги скритп, но они не выполнятся. Энкодить это на клиенте на javascript-е не сильно разумно, так как можно сделать POST этих данных формы вручную через тот же Fiddler, и ему подобные. |
||||||||
|
Эти 2 пользователей сказали Спасибо PhoeniXX за хороший пост: | Lihatskiy (23.08.2011), pingwinator (23.08.2011) |
24.08.2011, 12:05 | #9 (Ссылка на пост) | ||||||||
Щас сменю себе статус
Пол:
Благодарил(а): 9,926
Благодарили 6,148 раз в 2,096 постах
Галерея:
0
Вес репутации: 82
|
"возможность удаления файлов через форму" записал себе в мемы.
всякие твои красивости никаким образом не ломаются при исопльзовании пхп. по мойму ты подменяешь несколько понятий и путаешься. в общем решение для тебя: 1. https://phpids.org/ или 2. Если очень хочется писать только на js, и ты уверен в своих знаниях именно на js - то ставишь и спользуешь nodejs. и самое главное почитай что такое chmod.
__________________
|
||||||||
|
24.08.2011, 12:34 | #10 (Ссылка на пост) |
Свой В Доску
Пол:
|
Я различаю какие функции выполняются на стороне сервера, а какие - на стороне пользователя.
Вообще нормальные сайты делаю на PHP фреймворке. Так всё проще и вопросы безопасности уже учтены в функциях фреймворка. Но так как именно от этой странички мне нужна только красивая панелька с несколькими красивыми кнопками-ссылками для редиректа на поддомены, то тут я решил обойтись без PHP фреймворка. Вместо того решил побаловаться с яваскриптом, а в частности с jQuery и его плагинами. И всё бы ничего, если бы я не решил, что "а вот тут бы симпатично смотрелась кнопочка с конвертиком, которая будет страничку плавно растворять в форму обратной связи")) И пришлось поднять вопрос безопасности такой формы. Это единственный скритп PHP, который тут будет присутствовать. И таки да, экспериментирую) Больше с фреймворками, так как считаю, что незачем изобретать велосипед. Всем спасибо за участие! |
|
26.08.2011, 21:21 | #11 (Ссылка на пост) |
Свой В Доску
Пол:
|
Тигр, спасибо за ссылку.
PHPIDS интересная штука, похоже. Попробую подключить. Было бы вообще здорово если б документация на русском была. |
|
Здесь присутствуют: 1 (пользователей - 0 , гостей - 1) | |
|
|
Похожие темы | ||||
Тема | Автор | Раздел | Ответов | Последнее сообщение |
Реплику немецкой военной формы времен Второй Мировой... | LOCKDOC | Куплю ... | 11 | 23.05.2011 15:18 |
Пошив школьной формы | Alexandro | Услуги | 34 | 30.07.2010 07:58 |
куплю формы для тротуарной плитки | lexa11 | Куплю ... | 1 | 31.05.2009 09:15 |
Защита дисплея | Snaiper | Общие | 12 | 18.02.2008 21:36 |