hallo leden
ik heb een website met de vendetta source.,
nu word ik bedreigd dat iemand me site een week lang kan plat leggen en dat ik me db dan kwijt ben, terwijl ik een .nl domeinaam en betaalde host heb?
wie weet tips om dit te voorkomen?
hallo leden
ik heb een website met de vendetta source.,
nu word ik bedreigd dat iemand me site een week lang kan plat leggen en dat ik me db dan kwijt ben, terwijl ik een .nl domeinaam en betaalde host heb?
wie weet tips om dit te voorkomen?
SQL injecties tegen gaan?, terrorsheep gaf een goede link waar in uitgelegd stond wat de gevaren zijn, en hoe je mogelijk het kan tegen gaan.
CitaatToon MeerKillingdevil
Berichten: 782
Serieuze MySQL injecties zijn zeker een groot gevaar. En je kunt een heleboel tegen gaan door simpelweg magic qoutes aan te zetten (of iets wat hier op lijkt, bijvoorbeeld met een functie), maar er zijn genoeg redenen om dit niet te doen:
http://nl2.php.net/manual/en/security.magicquotes.whynot.php
Een oom van mij woont aan een straat met in de straatnaam 't, en wat zag ik toen ik daar een brief op tafel zag liggen:
\\\\\\\'t
Denk dat dit goed genoeg aanwijst dat automatisch escapen enkel problemen oplevert.
Een goed geschreven applicatie gebruikt nooit stripslashes nadat er iets uit de database is gehaald (Andere scenario's zijn misschien mogelijk, maar ook dan moet je gaan nadenken of je het wel helemaal goed doet).
Gelukkig voor de onwetende gebruikt de mysql_query functie standaard geen delimiter (die wordt genegeerd), anders waren ledenlijsten een feest!
http://www.criminalspoint.com/forum/topic/1254/1.html
:cheer:
Gebruik nooit zomaar vendetta zonder de code te verbeteren, elke leek kan in die code bugs misbruiken, sql injections zijn ook mogelijk aangezien hij toch niet controleert. Wat je hieraan kunt doen, verspil je tijd niet een vendetta en leer PHP en MySQL en maak je source zelf door alles te valideren e.d ..
ik heb deze code nu in me config
wat kan ik meer doen?":
<?php
$url = substr($_SERVER['REQUEST_URI'], 1);
if(eregi("%", $url) or eregi(";", $url) or eregi("'", $url) or eregi("<", $url) or eregi(">", $url) or eregi(")", $url) or eregi("query", $url) or eregi("mysql", $url) or eregi('"', $url) or eregi('config', $url) or eregi('ingelogd', $url) or eregi("_", $url) or eregi("query", $url) or eregi("-", $url)){
die("Geen sql-injectie proberen te doen.");
}
?>
ps: ik leer mysql en php door de vendetta source zo bouw ik ervaring op. maar sommige dingen moet ik nog even weten
Beter voorkomen dan genezen! Wat jij doet is dus genezen i.p.v voorkomen..
en hoe voorkom ik het ?
rekening houden met zulke dingen tijdens het scripten...
Achterhaal gewoon zijn IP en melden aan zijn provider, zo'n ettertjes kunnen wel gemist worden op internet! Of stuur gewoon een brief naar zijn thuis, gericht aan zijn ouders
Citaat van TerrorSheepAchterhaal gewoon zijn IP en melden aan zijn provider, zo'n ettertjes kunnen wel gemist worden op internet! Of stuur gewoon een brief naar zijn thuis, gericht aan zijn ouders
Hoe wil je ooit achter een adres komen de providers mogen geen adres doorgeven, en melden aan de provider heeft ook vrij weinig zin. Ze sluiten je toch niet af, mischien krijg je een waarschuwing dan moet je wel hard bewijs hebben. Als jij een adres kan achter halen doormiddel van een ip adres mag jij mij vertellen hoe want naar mijn weten is dit onmogelijk want het ip adres leid altijd naar de provider :cheer:
'Hacken' is bij de wet verboden, en als ze je er op kunnen pakken, zit je gewoon .. Anders zou de provider zijn eigen regels niet respecteren(lees ze maar eens, ben je wel even zoet mee)!
En de persoon in kwestie heeft genoeg bewijzen om dit te melden bij een dergelijke instantie als ecops.be.
Wat Dein zegt, logs van Apache, dreigementen in mail etc.
Heb je nog geen account? Registreer je nu en word deel van onze community!