DIG Digital Corner
Alles wat je altijd al over computers, hardware, software, internet en elektronische gadgets had willen weten, maar niet op Tweakers.net durft te vragen.
Moet die global dan in de functie staan? Ik hoef de variabelen van de functie niet in m'n script gebruiken, maar de variabelen uit m'n script wel in de functie. Maar ik heb het al opgelost door geen functie te gebruikenquote:Op zondag 28 november 2004 12:57 schreef DutchBlood het volgende:
[..]
Zet binnen de functie;
global $fotonummer;
global $hits;
Let wel op dat als je $hits veranderd binnen de functie, je dan dus ook de $hits buiten de functie meepakt.
Scope Pure Colombia BV
Voorbeeldje:quote:Op zondag 28 november 2004 13:16 schreef huiz het volgende:
[..]
Moet die global dan in de functie staan? Ik hoef de variabelen van de functie niet in m'n script gebruiken, maar de variabelen uit m'n script wel in de functie. Maar ik heb het al opgelost door geen functie te gebruiken
$var1 = "Geven we mee aan de functie";
$var2 = "Doen we via global";
function functie ($var1) {
global $var2;
Print $var1 . "\n" . $var2;
}
functie($var1);
Zal weergeven:
Geven we mee aan de functie
Doen we via global
* in snippets database gooit *quote:Op zondag 28 november 2004 13:19 schreef DutchBlood het volgende:
Voorbeeldje:
Duidelijk Ik dacht dat je die global moest gebruiken op de plek waar je 'm aanmaakt.
Nu is alleen die chmod me nog onduidelijk
Scope Pure Colombia BV
http://catcode.com/teachmod/quote:Op zondag 28 november 2004 13:38 schreef huiz het volgende:
[..]
* in snippets database gooit *
Duidelijk Ik dacht dat je die global moest gebruiken op de plek waar je 'm aanmaakt.
Nu is alleen die chmod me nog onduidelijk
http://www.google.com/search?sourceid=navclient&ie=UTF-8&q=chmod
http://www.php.net/chmod
misschien kan je hier mee uit de voeten???
tipje voor het updaten van een counter in mysql dat kan gewoon simepl
stel je hebt een tabel met 3 velden (id, titel, visits) en wil visits 1 omhoog werken.
UPDATE FROM tabel SET visits=visits+1 WHERE id='jouid'
stel je hebt een tabel met 3 velden (id, titel, visits) en wil visits 1 omhoog werken.
UPDATE FROM tabel SET visits=visits+1 WHERE id='jouid'
The people who lost my respect will never get a capital letter for their name again.
Like trump...
Like trump...
Hallo,
Ik werk sinds kort in een Automatiseringsbedrijf, we verkopen CRM's en boekhoudsoftware.
Nu is ons nieuwste produkt iets wat je via het web kan gebruiken, zie voor demo deltabike.com (is van Exact dus geen spam)
Hoe verstandig is het om PHP te gaan leren als dit soort programma's op de martk komen?
Is dit heel verstandig omdat het dan mogelijk is om maatwerk te maken voor dit soort applicaties?
Of juist weer niet...
Kan iemand mij hier wat info over geven... niemand anders in ons bedrijf kan PHP
Ik werk sinds kort in een Automatiseringsbedrijf, we verkopen CRM's en boekhoudsoftware.
Nu is ons nieuwste produkt iets wat je via het web kan gebruiken, zie voor demo deltabike.com (is van Exact dus geen spam)
Hoe verstandig is het om PHP te gaan leren als dit soort programma's op de martk komen?
Is dit heel verstandig omdat het dan mogelijk is om maatwerk te maken voor dit soort applicaties?
Of juist weer niet...
Kan iemand mij hier wat info over geven... niemand anders in ons bedrijf kan PHP
Niet echt... deze links en een hoop via Google geven alleen maar aan wat het is. En soms een grote vette regel dat je absoluut geen bestanden en mappen wereldwijd open moet zetten. Maar waar het mij om gaat en wat ik nog nergens in duidelijke taal gelezen heb, is waarom niet. Kan iemand anders dan bestanden in die map zetten? Of verwijderen? En hoe doet ie dat dan? Kan hij soms scripts uploaden waarmee hij door mijn site kan bladeren en wachtwoordbestanden kan downloaden? Dát zou ik graag willen weten maar dat heb ik nog nergens gelezenquote:Op zondag 28 november 2004 15:47 schreef mschol het volgende:
[..]
http://catcode.com/teachmod/
http://www.google.com/search?sourceid=navclient&ie=UTF-8&q=chmod
http://www.php.net/chmod
misschien kan je hier mee uit de voeten???
Iedereen roept wel dat je het niet moet doen maar nooit waarom dan niet.
Scope Pure Colombia BV
Nog beterquote:Op zondag 28 november 2004 16:17 schreef Chandler het volgende:
tipje voor het updaten van een counter in mysql dat kan gewoon simepl
stel je hebt een tabel met 3 velden (id, titel, visits) en wil visits 1 omhoog werken.
UPDATE FROM tabel SET visits=visits+1 WHERE id='jouid'
Scope Pure Colombia BV
Bv van YAPF.net:quote:Op zondag 28 november 2004 21:24 schreef huiz het volgende:
Iedereen roept wel dat je het niet moet doen maar nooit waarom dan niet.
Maarrrrrrrr waarom????quote:Er gaan veel verhalen over chmod. Sommigen zeggen dat je alles op '777' moet zetten en andere beweren juist dat dat niet hoeft.
Hier volgt de waarheid.
...
Een map die op 777 staat is dus vogelvrij!
...
Ga dus NIET zelf zitten klieren met 'chmod 777', want daarmee breng je jouw data en in sommige gevallen zelfs de hele server mee in gevaar!
Scope Pure Colombia BV
als er een chmod 777 oip staat en een heacker weet in te breken kan hij in de mappen met chmod ALLES (verwijderen toevoegen etc...) en dan kan hij.zij dus malifiede scripts draaien om bijvoorbeeld te spammen, wachtwoord gegevens uitlezen, klant gegevens uitlezen noem mmaar op ALLES kan en dat is wat mensen er tegen hebben. (imo)quote:Op zondag 28 november 2004 23:14 schreef huiz het volgende:
[..]
Bv van YAPF.net:
[..]
Maarrrrrrrr waarom????
Ja dat dacht ik ook, maar hoe kán hij dan inbreken?quote:Op zondag 28 november 2004 23:23 schreef mschol het volgende:
[..]
als er een chmod 777 oip staat en een heacker weet in te breken kan hij in de mappen met chmod ALLES (verwijderen toevoegen etc...) en dan kan hij.zij dus malifiede scripts draaien om bijvoorbeeld te spammen, wachtwoord gegevens uitlezen, klant gegevens uitlezen noem mmaar op ALLES kan en dat is wat mensen er tegen hebben. (imo)
Als ik al die schreeuwerige opmerkingen hoor van: je moet nooit chmod 777 instellen, je map is vogelvrij, etc dan denk ik dat het redelijk eenvoudig moet zijn om daar dan een scriptje op te gooien. Maar is dat zo? Kan iedere internetter via IE dan een bestand verwijderen (rechter muisknop - Verwijderen) of moeten de hackers toch meer moeite doen? In dat laatste geval hoef je je dus ook niet extreem druk te maken om je eigen website, maar voor eventuele klanten (als je wat aan webdesign doet - en wie doet dat niet hierzo) kan het wel vervelend zijn.
Dat soort informatie zou handig zijn om te weten
Scope Pure Colombia BV
als er een beveiligings lek in je software zitr kan hij in breken ik neem even een extreem voorbeeld:
je roept je bestanden aan als volgt:
http://www.domein.nl/index.php?pagina=index
dan zou hij bijvoorbeeld index.html pakken in de root v/d website
als dit niet is beveiligd zou hij linux commando in kunnen voeren met alle gevolgen van dien:
http://www.domein.nl/index.php?pagina=mk 'ikmaakietsaan'
zo kan je misschien dus wel gewoon een scrit kunnen schrijven dat je hele site vernaggelt..
dit is wel een extreem voorbeeld, ikszelf weet even geen betere..
iemand anders???
ikzelf zeg altijd: alleen alles lezen behalve wanneer ik iets moet kunnen verwijderen/schrijven. niet anders das het beste. lijkt mij, ik werkt niet echt veel met linux.
je roept je bestanden aan als volgt:
http://www.domein.nl/index.php?pagina=index
dan zou hij bijvoorbeeld index.html pakken in de root v/d website
als dit niet is beveiligd zou hij linux commando in kunnen voeren met alle gevolgen van dien:
http://www.domein.nl/index.php?pagina=mk 'ikmaakietsaan'
zo kan je misschien dus wel gewoon een scrit kunnen schrijven dat je hele site vernaggelt..
dit is wel een extreem voorbeeld, ikszelf weet even geen betere..
iemand anders???
ikzelf zeg altijd: alleen alles lezen behalve wanneer ik iets moet kunnen verwijderen/schrijven. niet anders das het beste. lijkt mij, ik werkt niet echt veel met linux.
Hmjah, dat dacht ik ook eigenlijk.
Maar ik laad nooit scripts op die manier, gooi er altijd een switch tussen. En in mijn geval gaat het altijd om een submap om afbeeldingen te uploaden waarbij én op extensie én op inhoud gecheckt wordt of het een afbeelding betreft. Dus het leek me al niet zo'n probleem.
Maar door al die paniekerige kreten dat zo'n map vogelvrij is, dacht ik (als beginnende php'er met een fobie voor beveiliging) dat het wel schandalig moet zijn om chmod 777 te gebruiken. Maar nergens lees ik hoe en wat een hacker kan doen in zo'n map
Als ik via php iets upload dan moet die map op 777 staan omdat ie anders er geen foto in kan plaatsen, maar is het dan beter om voor het uploaden op 777 zetten en daarna weer op 755, of is het voldoende om te zorgen dat je scripts veilig genoeg zijn?
Maar ik laad nooit scripts op die manier, gooi er altijd een switch tussen. En in mijn geval gaat het altijd om een submap om afbeeldingen te uploaden waarbij én op extensie én op inhoud gecheckt wordt of het een afbeelding betreft. Dus het leek me al niet zo'n probleem.
Maar door al die paniekerige kreten dat zo'n map vogelvrij is, dacht ik (als beginnende php'er met een fobie voor beveiliging) dat het wel schandalig moet zijn om chmod 777 te gebruiken. Maar nergens lees ik hoe en wat een hacker kan doen in zo'n map
Als ik via php iets upload dan moet die map op 777 staan omdat ie anders er geen foto in kan plaatsen, maar is het dan beter om voor het uploaden op 777 zetten en daarna weer op 755, of is het voldoende om te zorgen dat je scripts veilig genoeg zijn?
Scope Pure Colombia BV
sowieso altijd input vanuit de adresbalk controleren, zo kun je, wanneer een variabele 'gewoon' wordt uitgelezen uit de adresbalk, bij een slecht beveiligde site commando's uitvoeren en vervolgens bijvoorbeeld elke mysql-query erachter plakken, die vervolgens vrolijk wordt uitgevoerd. Redelijke exploit lijkt me, als je je input dus niet controleert.
zal een voorbeeld geven:
in script:
$waarde = $_GET['waarde'];
pagina aanroepen:
pagina.php?waarde=mysql_query("DROP TABLE 'tabel'")
en daar beginnen de problemen.
Natuurlijk moet je dan de naam van de tabel weten, maar als je een beetje je best doet kun je uit bijvoorbeeld een error de databasenaam extraheren.... als je echt een klootzak bent, is dat fijn materiaal om iemand's dag naar de filestijnen te helpen.
(het verwijderen van tabellen en databases is een beetje een 'grof' voorbeeld natuurlijk. Als je je usertabel een beetje normaal instelt gaat het zo'n vaart niet lopen. Er zijn natuurlijk wel tal van andere mogelijkheden denkbaar, maar ik ga ze hier niet uitwerken)
zal een voorbeeld geven:
in script:
$waarde = $_GET['waarde'];
pagina aanroepen:
pagina.php?waarde=mysql_query("DROP TABLE 'tabel'")
en daar beginnen de problemen.
Natuurlijk moet je dan de naam van de tabel weten, maar als je een beetje je best doet kun je uit bijvoorbeeld een error de databasenaam extraheren.... als je echt een klootzak bent, is dat fijn materiaal om iemand's dag naar de filestijnen te helpen.
(het verwijderen van tabellen en databases is een beetje een 'grof' voorbeeld natuurlijk. Als je je usertabel een beetje normaal instelt gaat het zo'n vaart niet lopen. Er zijn natuurlijk wel tal van andere mogelijkheden denkbaar, maar ik ga ze hier niet uitwerken)
Scouting Rover Crofts Groep bouwt een nieuw clubhuis!
Een 'hacker' kan in een map die mode 777 heeft hetzelfde als jij in principe. Dus bestanden maken, verwijderen, overschrijven, mappen maken, verwijderen, etc.quote:Op zondag 28 november 2004 23:57 schreef huiz het volgende:
Hmjah, dat dacht ik ook eigenlijk.
Maar ik laad nooit scripts op die manier, gooi er altijd een switch tussen. En in mijn geval gaat het altijd om een submap om afbeeldingen te uploaden waarbij én op extensie én op inhoud gecheckt wordt of het een afbeelding betreft. Dus het leek me al niet zo'n probleem.
Maar door al die paniekerige kreten dat zo'n map vogelvrij is, dacht ik (als beginnende php'er met een fobie voor beveiliging) dat het wel schandalig moet zijn om chmod 777 te gebruiken. Maar nergens lees ik hoe en wat een hacker kan doen in zo'n map
Als ik via php iets upload dan moet die map op 777 staan omdat ie anders er geen foto in kan plaatsen, maar is het dan beter om voor het uploaden op 777 zetten en daarna weer op 755, of is het voldoende om te zorgen dat je scripts veilig genoeg zijn?
Niet heel erg aan te raden in de img-dir van je site dus. Je kan echter een map aanmaken via de browser, in een andere map die voor de gelegenheid op 777 staat. Die zet je terug en de map die je net hebt aangemaakt is writeable vanuit de browser, omdat de www-user hem heeft aangemaakt en dus in 'eigendom' heeft.
Scouting Rover Crofts Groep bouwt een nieuw clubhuis!
Jaaamaaar... hoe kan hij via de browser een map aanmaken? Ik zie in browsers nergens een optie om een nieuwe map te maken. Bovendien zet ik in elke map een redirect index.html of sluit 'm af via Apache als er geen index in zit.quote:Op maandag 29 november 2004 15:30 schreef ToMaSZ het volgende:
[..]
Een 'hacker' kan in een map die mode 777 heeft hetzelfde als jij in principe. Dus bestanden maken, verwijderen, overschrijven, mappen maken, verwijderen, etc.
Niet heel erg aan te raden in de img-dir van je site dus. Je kan echter een map aanmaken via de browser, in een andere map die voor de gelegenheid op 777 staat. Die zet je terug en de map die je net hebt aangemaakt is writeable vanuit de browser, omdat de www-user hem heeft aangemaakt en dus in 'eigendom' heeft.
Ik krijg toch steeds meer het idee dat een 777-gechmodde map heel wat minder onveilig is als iedereen loopt te roepen. En dat de meesten ook niet precies weten wat het probleem dan is
Scope Pure Colombia BV
En dan nog, kun je zien dat een map open staat? Of moeten ze dat handmatig proberen?
Misschien ben ik wel een zeikerd hoor, maar ik wil het gewoon graag zeker weten
Misschien ben ik wel een zeikerd hoor, maar ik wil het gewoon graag zeker weten
Scope Pure Colombia BV
Vanuit de browser... knap lastig, tenzij hij dus een bijv. php-scriptje schrijft, waarmee hij in je filesystem gaat spelen.quote:Op maandag 29 november 2004 15:46 schreef huiz het volgende:
[..]
Jaaamaaar... hoe kan hij via de browser een map aanmaken? Ik zie in browsers nergens een optie om een nieuwe map te maken. Bovendien zet ik in elke map een redirect index.html of sluit 'm af via Apache als er geen index in zit.
Ik krijg toch steeds meer het idee dat een 777-gechmodde map heel wat minder onveilig is als iedereen loopt te roepen. En dat de meesten ook niet precies weten wat het probleem dan is
En kan je dat zien, niet zomaar, dat moet je proberen, of scannen op open directories, vanuit een drectory listing kun je dan weer de rechten van een map zien.
Scouting Rover Crofts Groep bouwt een nieuw clubhuis!
Juist. En hoe krijgt hij dan dat scriptje in mijn map? En als ik het bekijken van zo'n map blokkeer, hoe kan ie dat dan zien?quote:Op maandag 29 november 2004 16:02 schreef ToMaSZ het volgende:
[..]
Vanuit de browser... knap lastig, tenzij hij dus een bijv. php-scriptje schrijft, waarmee hij in je filesystem gaat spelen.
En kan je dat zien, niet zomaar, dat moet je proberen, of scannen op open directories, vanuit een drectory listing kun je dan weer de rechten van een map zien.
Zijn er geen hackers in de zaal om hun geheimen te openbaren?
Scope Pure Colombia BV
dat scriptje hoeft niet in jou map.
Als immers iedereen alles mag doen in jou mapje, mag dat, tenzij anders geconfigureerd, ook vanaf een andere server. (hangt ook weer van je serversettings af).
Als immers iedereen alles mag doen in jou mapje, mag dat, tenzij anders geconfigureerd, ook vanaf een andere server. (hangt ook weer van je serversettings af).
Scouting Rover Crofts Groep bouwt een nieuw clubhuis!
Weet iemand nog een goed boek om PHP uit te leren (het liefst nederlands talig )
Want heb op bol.com een paar boeken erover gezien maar weet niet welke goed zijn en welke niet
Want heb op bol.com een paar boeken erover gezien maar weet niet welke goed zijn en welke niet
Je kan niet zomaar inbreken als iemand een map op 777 heeft staan, voor sommige scripts is dat zelfs een vereiste. Je moet alleen wel kijken wat voor script je hebt en hoe je die zelf in elkaar hebt gezet. Als je een afbeeldinguploader hebt die zonder problemen .PHP-bestanden door laat, dan ben je gewoon dom bezig.
-edit-
Ik zit iemand vals te beschuldigen van verkeerde informatie geven, excuus
[ Bericht 16% gewijzigd door Heliospan op 30-11-2004 17:22:37 ]
(dit gaat toevallig over phpnuke ofzo, maar dat geeft niet )quote:[Someone suggested 777 but doesn't that mean they can hack my site?]
Yes, if users need to upload files to a directory then the dir will need 777 (well, it could be 707 but we'll say 777 for simplicities sake)...
Make sure the *only* directory you set to 777 is the one they are uploading to. The biggest problem is that if files are uploaded, such as .php or .sh files, they can be run on the web server from a remote browser.. And yes, this means people have the potential to cause damage... However - making it 777 doesn't automatically place you at risk - there are a few more factors to consider:
The upload directories location:
If the root of your website is in /home/username/public_html but you have your uploads stored in /home/username/uploaded_files there is no way someone can access these files with their browser... However if you store your files in /home/username/public_html/uploaded_files you can be at risk... Check your modules' config to see if you can specify where the upload directory lives - and if possible make it somewhere out of your web servers path.
The module's built in security:
Most modules that let you upload files have some sort of checkign facility that only allows certain file types to be uploaded. If people are only uploading .gif / .jpg / etc files - you have no probs with using this module to hack your site.. (as long as there aren't any real security holes in the module itself)...
-edit-
Ik zit iemand vals te beschuldigen van verkeerde informatie geven, excuus
[ Bericht 16% gewijzigd door Heliospan op 30-11-2004 17:22:37 ]
Kijk, dit is betere informatiequote:Op dinsdag 30 november 2004 17:14 schreef Heliospan het volgende:
Je kan niet zomaar inbreken als iemand een map op 777 heeft staan, voor sommige scripts is dat zelfs een vereiste. Je moet alleen wel kijken wat voor script je hebt en hoe je die zelf in elkaar hebt gezet. Als je een afbeeldinguploader hebt die zonder problemen .PHP-bestanden door laat, dan ben je gewoon dom bezig.
[..]
(dit gaat toevallig over phpnuke ofzo, maar dat geeft niet )
-edit-
Ik zit iemand vals te beschuldigen van verkeerde informatie geven, excuus
Gek genoeg kom je dat nergens tegen, alleen maar kreten dat het levensgevaarlijk is.
Het probleem zit 'm dus in slechte code en het niet checken van geuploade bestanden. En slechte code kom je helaas veel te vaak tegen
Scope Pure Colombia BV
Ik heb Het Complete Handboek PHP 4 en die is wel redelijk compleet te noemen. Wel zitten er een aantal fouten in en je moet niet alles geloven wat ze beweren, maar als je nog van niks weet dan is het een leerzaam boek.quote:Op dinsdag 30 november 2004 17:06 schreef JortK het volgende:
Weet iemand nog een goed boek om PHP uit te leren (het liefst nederlands talig )
Want heb op bol.com een paar boeken erover gezien maar weet niet welke goed zijn en welke niet
Daarnaast veel meelezen op YAPF, Phpfreaks, Hyperlinkz, Webscripters, (ook eens in de snippets database kijken) en hier op Fok natuurlijk
En nooit direct beginnen met enorme projecten, en niet teveel tegelijk willen (databases, templates, language independence files) maar gewoon lekker kleine dingetjes maken om te testen
Scope Pure Colombia BV
stel je hebt een hele mooie inc bestand met daarin de functie om je db te openen die je aanroept... alleen nu zit ik met het probleem dat .inc bestanden gewoon worden weeregeven als je ze in de adresblak intypt. is daar geen betere manier voor?
of:
| 1 2 3 4 5 6 7 | <?php if($_SERVER['SCRIPT_NAME'] == __FILE__) { header('Location: http://www.mysite.com/' exit( } ?> |
maar kun je het niet gewoon in een PHP file zetten dus bijvoorbeeld db_inc.php en die aanroepen zoals ook met ASP gebeurd?
define 'het', en wat gebeurt er in asp?quote:maar kun je het niet gewoon in een PHP file zetten dus bijvoorbeeld db_inc.php en die aanroepen zoals ook met ASP gebeurd ?
niet gewoon in een PHP file zetten dus bijvoorbeeld db_inc.php en die aanroepen zoals ook met ASP gebeurd Dat stukje code dat ik je gaf zet je bovenin een phpfile die niet direct geopend mag worden. Het script test of het script aangeroepen door de bezoeker gelijk is aan de scriptfile zelf. Als dat zo is, wordt de gebruiker doorverwezen naar de site zelf.
Maar nogsteeds is .htaccess de beste oplossing vind ik. Je zet al je includes in één of meerdere directories en je sluit die directories af met een .htaccess bestand.
Waarom maak je er geen .php van?quote:Op zondag 5 december 2004 09:50 schreef BlueCurl het volgende:
stel je hebt een hele mooie inc bestand met daarin de functie om je db te openen die je aanroept... alleen nu zit ik met het probleem dat .inc bestanden gewoon worden weeregeven als je ze in de adresblak intypt. is daar geen betere manier voor?
-edit-
oeps, ik moet leren lezen
