PHPhulp.nl PHPhulp.nl
35k+ leden Over PHPhulp Offerte opdracht Contact
D

Hackers

Door Dennis Messing op 03-12-2008 11:58
7.861 views
Hallo,
Afgelopen nacht zijn al mijn php script door een hacker veranderd. In elk script was onderaan een javascript toegevoegd met daarin een iframe.
Ik heb de helpdesk gebeld met de vraag hoe dat kon.
Volgens de helpdesk zou ik mijn scripts moeten beveiligen.
Oke, maar hoe??
Hoe is het mogelijk dat een of andere Rus of diens computer mijn php bestanden kan overschrijven?
Inmiddels al mijn wachtwoorden veranderd, ftp en sql, maar is dat afdoende?
Volgens de hoster is er geen gebruik gemaakt van ftp.
mijn vraag: hoe kan ik dit in de toekomst voorkomen?
-
--
03-12-2008 16:27
Die kopie is onnodig!

<?php
if(empty($_POST['kleur']))
{
	echo "kleur komt niet door";
}
else
{
	echo "kleur is " . $kleur;
}
?>
D
Dennis Messing
03-12-2008 16:28
wat is dan precies het verschil, of is dat een domme vraag?
s
stefan lenders
03-12-2008 16:28
vertel jij zegt

Dennis Messing schreef op 03.12.2008 16:09
Op de volgende pagina heb ik nu het volgende geplaatst, en krijg als output, je raadt het al....


<?
$kleur = $_GET['webkleur'];

if (empty($kleur)){ echo "kleur komt niet door";
}
else{
echo "kleur is $kleur";
}
?>


dat werkt niet op het form dat je geeft
-
--
03-12-2008 16:29
Nee, domme vragen bestaan niet.

Als je via $_GET doet staat alles in de url, als je met $_POST werkt wordt alles onzichtbaar voor andere verzonden.
D
Dennis Messing
03-12-2008 16:33
Dus get en post zijn exact hetzelfde?
dan lijkt mij post veiliger, niet?
N
Nicoow Unknown
03-12-2008 16:41
Ze zijn juist niet hetzelfde,
Een get variable staat alleen in de url, dus bijvoorbeeld ?kleur=blauw
Een post variable kan je ophalen vie een $_POST['kleur']
en dat hangt dan af van welke methode je gebruikt in je formulier
D
Dennis Messing
04-12-2008 11:45
Ik heb nu de website weer grotendeels werken. Ik heb alleen nog een probleem met het gastenboek welke beveiligd is met een captcha.
Volgens mij maakte deze gebruik van register_globals, welke nu uit staan.
Hieronder even een paar delen uit de scripts..

deel van het formulier

<?php
<form method="post" action="input.php">
<img src="captcha.php" height="63" width="150">
<input type="text" name="norobot">
<input name="submit" type="submit" value="Toevoegen" />
</form>
?>

Deel van de captcha.php
( deze maakt een afbeelding verder in het script welke getoond wordt in het form, niet relevant dus weggelaten)

<?php
session_start();

$randomnr = rand(100000, 999999);
$_SESSION['randomnr2'] = md5($randomnr);
?>

deel van input.php

<?php
session_start();
$test = $_POST['norobot'] ;
$test1 = $_SESSION['randomnr2'];
echo"post $test";
echo"session $test1";
?>

De 2e echo werkt dus niet..
- SanThe -
04-12-2008 11:51
Zet dit bovenin je script.
<?php
error_reporting(E_ALL);
ini_set("display_errors", 1);

// rest
?>
D
Dennis Mertens
04-12-2008 11:54
Ik zet de CAPTCHA code nooit in een SESSION. Gewoon in de DB met IP.
D
Dennis Messing
04-12-2008 11:56
Staat er al.... geen error meldingen.

Reageren

Inloggen om te reageren