- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
В 2023 году 36,9% всех DDoS-атак пришлось на сферу финансов
А 24,9% – на сегмент электронной коммерции
Оксана Мамчуева
Зачем быть уникальным в мире, где все можно скопировать
Почему так важна уникальность текста и как она влияет на SEO
Ingate Organic
Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий
Не знаю с чего начать и куда обратиться...Последняя надежда на этот форум так как другим не доверяю.
Итак вчера после взлома и вывода хакером небольшой суммы(так как там больше не было) обнаружил в корне сайта не свои файлы...поудалял..
в одном файле было такое:
кусок кода
{ $arBalance = $payeer->getBalance(); $balancer = $arBalance["balance"]["RUB"]["DOSTUPNO"]; $balanceb = $arBalance["balance"]["BTC"]["DOSTUPNO"]; $balancee = $arBalance["balance"]["EUR"]["DOSTUPNO"]; $balanceu = $arBalance["balance"]["USD"]["DOSTUPNO"]; echo "
Как этот взлом называется SQL или PHP иньекция?
Через что взломали и какую защиту поставить?
Прошу поподробней так как не спец.)
Какие надо файлы предоставлю для проверки, заранее спасибо)
а толку писать вам? вы же не спец.
нет универсальной инструкции, обратитесь к специалистам.
так можно просто дать код защиты от иньекций или это не поможет?
не спец но пхп файлы умею редактировать
где искать этих спецов?
где искать этих спецов?
целая ветка /ru/forum/webmasters-jobs/websites-servers-administration
что значит дать код, волшебного способа не существует, нужно делать аудит и выяснять причину, потому уже видно будет как исправить.
в соотв. разделе форума можно найти исполнителей.
можно ко мне обратиться, работаю от 2000р за сайт.
что значит дать код, волшебного способа не существует, нужно делать аудит и выяснять причину, потому уже видно будет как исправить.
в соотв. разделе форума можно найти исполнителей.
можно ко мне обратиться, работаю от 2000р за сайт.
ну мне давали вот такую защиту но она не помогла
ведь сломали иньекцией а это надо ставить запрет на запросы get и post
<?
//Проверяем Пост и Гет на ненужные символы
$arrs=array('_GET', '_POST');
foreach($arrs as $arr_key => $arr_value){
if(is_array($$arr_value)){
foreach($$arr_value as $key => $value){
$nbz1=substr_count($value,'--');
$nbz2=substr_count($value,'/*');
$nbz3=substr_count($value,"'");
$nbz4=substr_count($value,'"');
if($nbz1>0 || $nbz2>0 || $nbz3>0 || $nbz4>0){
print '<div class="error">Вы используете недопустимые
символы в '.str_replace('_','',$arr_value).'-запросе!<br><a
href="javascript:window.history.back();">Назад</a></div>';
exit();
}
}
}
}
?>
p.s. за 2000 продают нулячий скрипт уже с защитой...смысл платить кому то за исправление?
я конечно собираюсь выучится на прогера но уже 30 лет и не знаю когда время будет...не те года когда свободного времени валом было)
viper5
приведенный вами способ костыль который к тому же не будет полноценно защищать, не в коем случае так делать не стоит.
2000р это копейки если посмотреть на расценки программистов :)
viper5
приведенный вами способ костыль который к тому же не будет полноценно защищать, не в коем случае так делать не стоит.
2000р это копейки если посмотреть на расценки программистов :)
я конечно не знаю где вы живёте, но у нас на Донбассе под обстрелами это большие деньги!!!
у некоторых это 2х недельная зарплата(если повезло с работой)шахтёры - да...норм получают но это не моё...конечно программист это же элитная высокооплачиваемая работа(извиняюсь за сарказм но такое чувство что не осталось добрых людей)
я если выучусь то буду помогать бесплатно хотя бы по мелочи...почищу карму для себя)
если все прогеры такие жадные то подскажите (ПОЖАЛУЙСТА!!!) хоть вот этот код более менее лучше предыдущего
ещё не тестировал и не знаю
error_reporting(0); // вывод ошибок
if($_GET['menu']!='admin4ik' && 'support'){
function limpiarez($mensaje){
$mensaje = htmlspecialchars(trim($mensaje));
$mensaje = str_replace("'","′",$mensaje);
$mensaje = str_replace(";","¦",$mensaje);
$mensaje = str_replace("$"," USD ",$mensaje);
$mensaje = str_replace("<","⟨",$mensaje);
$mensaje = str_replace(">","⟩",$mensaje);
$mensaje = str_replace('"',"”",$mensaje);
$mensaje = str_replace("%27"," ",$mensaje);
$mensaje = str_replace("0x29"," ",$mensaje);
$mensaje = str_replace("& amp ","&",$mensaje);
return $mensaje;
}
foreach($HTTP_POST_VARS as $i => $value){$HTTP_POST_VARS[$i]=limpiarez($HTTP_POST_VARS[$i]);}
foreach($HTTP_GET_VARS as $i => $value){$HTTP_GET_VARS[$i]=limpiarez($HTTP_GET_VARS[$i]);}
foreach($_POST as $i => $value){$_POST[$i]=limpiarez($_POST[$i]);}
foreach($_GET as $i => $value){$_GET[$i]=limpiarez($_GET[$i]);}
foreach($_COOKIE as $i => $value){$_COOKIE[$i]=limpiarez($_COOKIE[$i]);}
foreach($HTTP_POST_VARS as $i => $value){$HTTP_POST_VARS[$i]=stripslashes($HTTP_POST_VARS[$i]);}
foreach($HTTP_GET_VARS as $i => $value){$HTTP_GET_VARS[$i]=stripslashes($HTTP_GET_VARS[$i]);}
foreach($_POST as $i => $value){$_POST[$i]=stripslashes($_POST[$i]);}
foreach($_GET as $i => $value){$_GET[$i]=stripslashes($_GET[$i]);}
foreach($_COOKIE as $i => $value){$_COOKIE[$i]=stripslashes($_COOKIE[$i]);}
################## Фильтрация всех POST и GET #######################################
function filter_sf(&$sf_array)
{
while (list ($X,$D) = each ($sf_array)):
$sf_array[$X] = limpiarez(mysql_escape_string(strip_tags(htmlspecialchars($D))));
endwhile;
}
filter_sf($_GET);
filter_sf($_POST);
#####################################################################################
function anti_sql()
{
$check = html_entity_decode( urldecode( $_SERVER['REQUEST_URI'] ) );
$check = str_replace( "", "/", $check );
$check = mysql_real_escape_string($str);
$check = trim($str);
$check = array("AND","UNION","SELECT","WHERE","INSERT","UPDATE","DELETE","OUTFILE","FROM","OR","SHUTDOWN","CHANGE","MODIFY","RENAME","RELOAD","ALTER","GRANT","DROP","CONCAT","cmd","exec");
$check = str_replace($check,"",$str);
if( $check )
{
if((strpos($check, '<')!==false) || (strpos($check, '>')!==false) || (strpos($check, '"')!==false) || (strpos($check,"'")!==false) || (strpos($check, '*')!==false) || (strpos($check, '(')!==false) || (strpos($check, ')')!==false) || (strpos($check, ' ')!==false) || (strpos($check, ' ')!==false) || (strpos($check, ' ')!==false) )
{
$prover = true;
}
if((strpos($check, 'src')!==false) || (strpos($check, 'img')!==false) || (strpos($check, 'OR')!==false) || (strpos($check, 'Image')!==false) || (strpos($check, 'script')!==false) || (strpos($check, 'javascript')!==false) || (strpos($check, 'language')!==false) || (strpos($check, 'document')!==false) || (strpos($check, 'cookie')!==false) || (strpos($check, 'gif')!==false) || (strpos($check, 'png')!==false) || (strpos($check, 'jpg')!==false) || (strpos($check, 'js')!==false) )
{
$prover = true;
}
}
if (isset($prover))
{
die( "Попытка атаки на сайт или введены запрещённые символы!" );
return false;
exit;
}
}
anti_sql();
}
Извращение над кодом :(
viper5
на форуме есть тег PHP, не выкладывайте код в таком виде.
делать кашу и строить себе грабли как у вас нет смысла, от XSS достаточно htmlentities (при выводе), sql injection плейсхолдеры или mysql_real_escape_string.
не суть важно, но разбираться нужно с аудита всех логов и искать точку входа в ваше пространство т.к взломать можно не только через скрипты сайта.
нанять на зарплату программиста как всегда жмотно?