Udostępnianie klientom zasobów serwera



Podobne dokumenty
Udostępnianie klientom zasobów serwera

Personal Home Page PHP: Hypertext Preprocessor

Przykład programu w PHP. Wykład10.PHP ciągdalszy,str.1

Baza danych do przechowywania użytkowników

Aplikacje WWW - laboratorium

Rejestracja i Logowania - PHP/MySQL

Projekt strony internetowej firmy organizującej przyjęcia

Internetowe bazy danych

14. POZOSTAŁE CIEKAWE FUNKCJE

Zajęcia 11 wykorzystanie MySQL w PHP

Aplikacje internetowe - laboratorium

Michał Bielecki, KNI 'BIOS'

Hosting WWW Bezpieczeństwo hostingu WWW. Dr Michał Tanaś (

Wydział Elektrotechniki, Informatyki i Telekomunikacji Instytut Informatyki i Elektroniki

Wprowadzenie do Internetu Zajęcia 5

Języki programowania wysokiego poziomu. PHP cz.3. Formularze

Sklep Internetowy (HTML/xHTML, CSS, JavaScript, PHP, MySQL)

6. Bezpieczeństwo przy współpracy z bazami danych

Referat z przedmiotu Technologie Internetowe SPIS TREŚCI

ZAAWANSOWANE BAZY DANYCH I HURTOWNIE DANYCH MySQL, PHP

Funkcje i instrukcje języka JavaScript

ZPKSoft WDoradca. 1. Wstęp 2. Architektura 3. Instalacja 4. Konfiguracja 5. Jak to działa 6. Licencja

Internetowe bazy danych

Formularze w PHP dla początkujących

Aplikacje internetowe

Dokumentacja Skryptu Mapy ver.1.1

Ataki na aplikacje WWW. Łomem, czy wytrychem? Jak dobrać się do aplikacji WWW

PHP może zostać rozszerzony o mechanizmy dostępu do różnych baz danych:

Zaawansowane aplikacje internetowe

Wybrane działy Informatyki Stosowanej

Praca Magisterska "System zdalnego składania ofert kupna i sprzedaży za pośrednictwem Internetu" AUTOR PROMOTOR

Programowanie internetowe

Specyfikacja instalacji usługi SMS Premium w Przelewy24.pl

Aplikacje WWW - laboratorium

PRZEWODNIK PO PRZEDMIOCIE

Projektowani Systemów Inf.

Systemy internetowe. Wykład 3 PHP. West Pomeranian University of Technology, Szczecin; Faculty of Computer Science

Podstawy sieci komputerowych. Technologia Informacyjna Lekcja 19

Zajęcia 13 wykorzystanie MySQL w PHP cz. 2

Podstawy programowania (PHP/Java)

WYMAGANIA EDUKACYJNE. Programowanie Aplikacji Internetowych klasa III

Wykład 3 Inżynieria oprogramowania. Przykład 1 Bezpieczeństwo(2) wg The Java EE 5 Tutorial Autor: Zofia Kruczkiewicz

Aplikacje webowe w obliczu ataków internetowych na przykładzie CodeIgniter Framework

Współpraca PHP z MySql cz.2

Bazy Danych i Usługi Sieciowe

SSK - Techniki Internetowe

Formularze. 1. Formularz HTML

Technologie Internetowe Raport z wykonanego projektu Temat: Internetowy sklep elektroniczny

Systemy internetowe Wykład 3 PHP

Bezpieczeństwo systemów komputerowych

Aplikacje internetowe - opis przedmiotu

Zakres tematyczny dotyczący kursu PHP i MySQL - Podstawy pracy z dynamicznymi stronami internetowymi

Ten krótki poradnik pomoże Ci zainstalować nasz katalog no-name na swojej stronie internetowej.

Artykuł opublikowany w numerze 1/2004 magazynu Hakin9

PHP: bloki kodu, tablice, obiekty i formularze

Przykładowa integracja systemu Transferuj.pl

Obiektowe bazy danych

Programowanie komponentowe. Przykład 1 Bezpieczeństwo wg The Java EE 5 Tutorial Autor: Zofia Kruczkiewicz

Formularze HTML. dr Radosław Matusik. radmat

Sesje i logowanie. 1. Wprowadzenie

SQL z perspektywy hakera - czy Twoje dane są bezpieczne? Krzysztof Bińkowski MCT,CEI,CEH,ECSA,ECIH,CLFE,MCSA,MCSE..

POLITYKA PRYWATNOŚCI SKLEPU CYBERPUNK.SKLEP.PL

Formy ataku SQL Injection

Kurs rozszerzony języka Python

Programowanie w Internecie. Podstawy użycia JSP. Paweł Kasprowski. vl06z

Umieszczanie kodu. kod skryptu

Al. Akacjowa 16A Wrocław. Instrukcja administratora programu Internet-Lab

Jak przygotować kopię zapasową bazy danych programu MOL Optivum i udostępnić ją na potrzeby migracji do programu MOL NET+?

PHP w-3. Sterowanie w PHP

Aspekty bezpieczeństwa aplikacji internetowych

INSTRUKCJA INSTALACJI PŁATNOŚCI TRANSFERUJ.PL

Kurs rozszerzony języka Python

Instrukcja obsługi Uczeń. Spis Treści

RAPORT SKANOWANIA ANTY-EXPLOITOWEGO kont hostingowych Smarthost.pl za rok 2016

KONFIGURACJA INTERFEJSU SIECIOWEGO

Instrukcja instalacji programu ARPunktor wraz z serwerem SQL 2005 Express

Dokumentacja serwisu internetowego Zespołu Szkół Technicznych w Radomiu.

Powinieneś wiedzieć... Powinieneś znać podstawy języka i środowiska

Bazy danych i strony WWW

2. Logowanie do platformy OSD i pobranie zamówionych produktów

Najważniejsze informacje dla klienta na temat Portalu Serwisowego D-Link Spis treści

Polityka prywatności Rankosoft Sp. z o.o. Sp. komandytowa

E.14 Bazy Danych cz. 19 SQL i PHP współpraca przez stronę internetową

Aplikacje www laboratorium

Internetowy moduł prezentacji WIZYT KLIENTA PUP do wykorzystania np. na stronie WWW. Wstęp

Drobne błędy w portalach WWW

Zaawansowane bazy danych i hurtownie danych studia zaoczne II stopnia, sem. I

Komunikacja między klientem, a skryptem PHP, oraz operacje na plikach

Obiektowy PHP. Czym jest obiekt? Definicja klasy. Składowe klasy pola i metody

JQuery. $('#pierwszy').css('color','red').hide('slow').show(3000); $(document).ready(function() { //... tutaj nasze skrypty jquery //...

Laboratorium 1 Wprowadzenie do PHP

System Kancelaris. Zdalny dostęp do danych

Przykładowa integracja systemu tpay.com KIP S.A. ul. Św. Marcin 73/ Poznań.

Aplikacje WWW - laboratorium

Nr: 12. Tytuł: UDOSTĘPNIANIE DANYCH O SPRAWACH KLIENTOM KANCELARII NA ZEWNĘTRZNYCH SERWERACH WWW. Data modyfikacji:

Współpraca z platformą Emp@tia. dokumentacja techniczna

Bezpieczne strony WWW dla edukacji, organizacji non-profit i uŝytkowników indywidualnych.

Zajęcia 4 - Wprowadzenie do Javascript

Polityka prywatności

Język PHP. Studium Podyplomowe Sieci Komputerowe i Aplikacje Internetowe. v1.7, 2007/11/23

Transkrypt:

Wykład11PHP szczegółyintymne,str1 Udostępnianie klientom zasobów serwera SERWER programy w PHP Wykład11PHP szczegółyintymne,str2 Udostępnianie klientom zasobów serwera Serwer wykonuje obliczenia zlecone przez klienta i odsyła mu wyniki Serwer dysponuje mocami obliczeniowymi i zasobami danych niedostępnymi bezpośrednio klientom; klient dysponuje tylko przeglądarką HTML Przykład z udostępnianiem klientom działania programu gnuplot był naiwny, ale podobnie mogą być udostępniane poważniejsze usługi Zamiast programu gnuplot, serwer najczęściej obsluguje bazę danych;dlategoczęstouważasię,żephpmazwiązekzsql językiem programowania baz danych Współpraca klienta z serwerem jest wrażliwa na ataki, musi więc być oprogramowana z troską o bezpieczeństwo

Niezabezpieczona witryna Wykład11PHP szczegółyintymne,str3 strona fikcyjnej firmy Wykład11PHP szczegółyintymne,str4 Niezabezpieczona witryna cz PHP-owa <?php define("haslo","01234"); if(isset($request[ haslo ])) { if($ REQUEST[ haslo ] == constant("haslo")) { print("<span style= background-color:#aaffaa; font-size:120% >"); print("<b>masz uprawnienia administratora</b>"); print("</span><br>\n"); else { print("<span style= background-color:#ffaaaa; font-size:120% >"); print("<b>nie masz uprawnien administratora</b>"); print("</span><br>\n"); if(isset($request["co"])) include$request["co"];?>

Wykład11PHP szczegółyintymne,str5 Niezabezpieczona witryna cz HTML-owa <h1>ofermol z oo</h1> <p> Co chcesz o nas wiedziec?-- kliknij: <form action="ofermolphp" method="post"> <input type="radio" name="co" value="ofertaphp"> NASZA OFERTA<br> <input type="radio" name="co" value="kontaktphp"> KONTAKT DO NAS<br> <input type="submit" value="info"> </form><br> </p> <p> Jesli jestes administratorem, podaj haslo: <form action="ofermolphp" method="post"> <input type="text" name="haslo"><br> <input type="submit" value="zaloguj"> </form> </p> Najlepsze w kraju gwajdolnice, murkwie i patochlony! 01-234 Berdyczow Wykład11PHP szczegółyintymne,str6 Niezabezpieczona witryna atak Plik atakphp: <?php print("haslo:"haslo);?> Wpisać do przeglądarki adres: http://serwer/ofermolphp?co=atakphp Ten atak jest niepoważny, dopóki plik atakphp znajduje się na serwerze Ale include potrafi dołączyć do pliku PHP również fragmenty, umieszczone gdziekolwiek indziej; np u napastnika To jest bardzo znana luka w bezpieczeństwie(tzw wstrzykiwanie kodu code injection), więc możliwość inkludowania plików nielokalnych jest wyłączona na większości serwerów PHP

Logowanie i hasła Wykład11PHP szczegółyintymne,str7 HTML: <form action="loginphp"> Uzytkownik: <input type="text" name="user"><br> Haslo: <input type="text" name="pass"><br> <input type="submit" value="juz"> </form> ŹLE! wszyscy widzą hasło Logowanie i hasła Wykład11PHP szczegółyintymne,str8 HTML: <form action="loginphp"> Uzytkownik: <input type="text" name="user"><br> Haslo: <input type="password" name="pass"><br> <input type="submit" value="juz"> </form> DOBRZE!

Logowanie i hasła Wykład11PHP szczegółyintymne,str9 PHP: if(isset($ REQUEST[ user ])&& isset($ REQUEST[ pass ])) if($ REQUEST[ user ] =="Kasia"&& $REQUEST[ pass ],"st"=="ab1cd2") { wpuścić else { niewpuścić else { jeszczeniezalogowane Hasło na serwerze zapisane jawnie Haker może przejąć hasła wszystkich klientów i zalogować się z ich uprawnieniami Logowanie i hasła Wykład 11 PHP szczegóły intymne, str 10 PHP: if(isset($ REQUEST[ user ])&& isset($ REQUEST[ pass ])) if($ REQUEST[ user ] =="Kasia"&& crypt($ REQUEST[ pass ],"st") =="st4x5m0nyiree") { wpuścić else { niewpuścić else { jeszczeniezalogowane Hasła na serwerze zakodowane funkcją crypt(,"st") Nawet po zdobyciu wszystkich zakodowanych haseł, haker nie będzie mógł się zalogować Ale jeśli klient zapomni hasła, to administrator serwera nie może mu go przypomnieć; może tylko pozwolić mu na ustalenie nowego hasła

Przeplatanie PHP z HTML Wykład 11 PHP szczegóły intymne, str 11 <?php if(isset($ REQUEST[ jasno ])&& $ REQUEST[ jasno ]==1) {?> HTML 1 <?php else {?> HTML 2 <?php?> Kod PHP można swobodnie mieszać z kodem HTML Przełączanie na PHP(znacznik <?php) oraz na HTML(znacznik?>) może się znajdować nawet wewnątrz nawiasów {

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres