Безопасность кода.

@ICEBERG@ · Регистрация: 20.06.2010

Студворк — интернет-сервис помощи студентам

Могут ли данные такие как пароль указанные в коде попасть в чужие руки?

PHP
1
$html = file_get_contents("http://URL&auth_name=USER&auth_pass=PASSWORD");

@Nazz · 20.09.2010, 21:24

поточнее вопрос, а то что-то непонятно((

@ICEBERG@ · 21.09.2010, 00:11 **[ТС]**

Что не понятного? У меня в коде пхп есть строка как в примере с паролем. Может этот пароль попасть в чужие руки?

@Delegat · 21.09.2010, 10:07

Может, если чужие руки имеют доступ к исходникам.
А вообще пароли лучше шифровать для пущей надежности.

@Nazz · 21.09.2010, 10:11

естли я не ошыбаюсь, то етим кодом вы найдёте вот такую строчку у вашему коду:
http://URL&auth_name=USER&auth_pass=PASSWORD
естли етот код будет где-то выводится типа echo, print, innerHTML, то тогда его можно будет найти и использовать, а так напрямую через php думаю что нельзя будет увидеть...

@ICEBERG@ · 21.09.2010, 13:17 **[ТС]**

Сообщение от Delegat

Может, если чужие руки имеют доступ к исходникам.
А вообще пароли лучше шифровать для пущей надежности.

А как это делается?

Сообщение от Nazz

естли я не ошыбаюсь, то етим кодом вы найдёте вот такую строчку у вашему коду:
http://URL&auth_name=USER&auth_pass=PASSWORD
естли етот код будет где-то выводится типа echo, print, innerHTML, то тогда его можно будет найти и использовать, а так напрямую через php думаю что нельзя будет увидеть...

У меня вчера произошел такой случай. Я запустил скрипт с денвера но интернет был отключен и в результате в браузере открылся весь скрипт с паролем. Проверил запуск с хоста уже ничего не вышло. Но на всякий случай решил выяснить.

Речь идет о паролях к сайтам или пароли от mysql. В случае ошибок при выполнении они могут появится на экране?

@Delegat · 21.09.2010, 13:28

Могут. Для предотвращения этого в настройках PHP стоит выключить отображение ошибок или настроить так, что бы не выводились ошибки MySQL.

@ICEBERG@ · 21.09.2010, 14:56 **[ТС]**

Где и как?

@Delegat · 21.09.2010, 15:35

Необходимо поправить php.ini на сервере. Изменить значение display_errors на Off. Это самый банально простой вариант.

@ICEBERG@ · 21.09.2010, 15:53 **[ТС]**

Что то я его не нашел на хостинге.

@Nazz · 21.09.2010, 15:54

вы можете изменять настройки пхп-на хостинге? вы сами хостер? естли вы не хостер, то вряд ли у вас получится изменить файл php.ini!

@Delegat · 21.09.2010, 16:10

В крайнеем случае тогда через .htaccess. Создать в корне сайта тай файл и там написать

php_flag display_errors off
php_value error_reporting 0

А вообще http://www.hoster.ru/faq/q865.htm - тут все разжеванно

@ICEBERG@ · 21.09.2010, 16:23 **[ТС]**

Сообщение от Nazz

вы можете изменять настройки пхп-на хостинге? вы сами хостер? естли вы не хостер, то вряд ли у вас получится изменить файл php.ini!

Я же говорю не нашел.

Сообщение от Delegat

В крайнеем случае тогда через .htaccess. Создать в корне сайта тай файл и там написать

php_flag display_errors off
php_value error_reporting 0

А вообще http://www.hoster.ru/faq/q865.htm - тут все разжеванно

Боюсь это не совсем то что нужно. Потому что даже при отключенном инете он теперь пишет "Данные обновлены успешно"

@ostgals · 21.09.2010, 16:27

Достаточно посмотреть любым сниффером ваш трафик, и злоумышленник легко прочитает указанный пароль.
Не парьтесь - шифровать или хэшировать пароли следует обязательно.

@ICEBERG@ · 21.09.2010, 16:31 **[ТС]**

ostgals, Как?

@ostgals · 21.09.2010, 18:47

Сообщение от ICEBERG@

ostgals, Как?

Возьмите скачайте любой сниффер, запустите его, и запустите свой PHP-скрипт.
Увидите запрос:

Code
1
GET http://URL&auth_name=USER&auth_pass=PASSWORD HTTP/1.1

Со всеми паролями, естественно. Соответственно, злоумышленник может просмотреть такие данные хотя бы через самописный дроппер (программа, скидывающая данные хакерам без ведома владельца компьютера).

@Xander Bass · 22.09.2010, 02:28

ICEBERG@, почитайте про .htaccess. Именно через него можно настраивать локально параметры PHP.

Например так:

PHP
1
php_value "display_errors" "off"

@ICEBERG@ · 22.09.2010, 18:57 **[ТС]**

Сообщение от ostgals

Возьмите скачайте любой сниффер, запустите его, и запустите свой PHP-скрипт.
Увидите запрос:

Code
1
GET http://URL&auth_name=USER&auth_pass=PASSWORD HTTP/1.1

Со всеми паролями, естественно. Соответственно, злоумышленник может просмотреть такие данные хотя бы через самописный дроппер (программа, скидывающая данные хакерам без ведома владельца компьютера).

Я не спрашиваю как пароли находить я спрашиваю как кодировать?

Сообщение от Xander_Bass

ICEBERG@, почитайте про .htaccess. Именно через него можно настраивать локально параметры PHP.

Например так:

PHP
1
php_value "display_errors" "off"

Это мы уже проходили, почитайте чуть выше.

@ostgals · 22.09.2010, 21:33

Сообщение от ICEBERG@

я спрашиваю как кодировать?

Все зависит от ситуации. Вариантов много: различные хэши, ключи, двойные ключи... Всем этим занимается криптография.

В вашем конкретном случае, скорее всего логично будет, если на удаленном сервере будут храниться хэши паролей или даже хэши комбинации имени пользователя и пароля. Например:

PHP
1
$html = file_get_contents('http://host.com/?user='.$user.'&auth_hash='.md5("$username:::$password"));

Соответственно хэш должен будет пройти валидацию на том сервере, откуда сливается файл.

@ICEBERG@ · 22.09.2010, 22:40 **[ТС]**

Это что то совершенно новое для меня. .md5 Что означает?

Новые блоги и статьи Все статьи Все блоги /
PhpStorm 2025.3: WSL Terminal всегда стартует в ~ and_y87 14.12.2025 PhpStorm 2025. 3: WSL Terminal всегда стартует в ~ (home), игнорируя директорию проекта Симптом: После обновления до PhpStorm 2025. 3 встроенный терминал WSL открывается в домашней директории. . .	Access VikBal 11.12.2025 Помогите пожалуйста !! Как объединить 2 одинаковые БД Access с разными данными.	Новый ноутбук volvo 07.12.2025 Всем привет. По скидке в "черную пятницу" взял себе новый ноутбук Lenovo ThinkBook 16 G7 на Амазоне: Ryzen 5 7533HS 64 Gb DDR5 1Tb NVMe 16" Full HD Display Win11 Pro	Музыка, написанная Искусственным Интеллектом volvo 04.12.2025 Всем привет. Некоторое время назад меня заинтересовало, что уже умеет ИИ в плане написания музыки для песен, и, собственно, исполнения этих самых песен. Стихов у нас много, уже вышли 4 книги, еще 3. . .	От async/await к виртуальным потокам в Python IndentationError 23.11.2025 Армин Ронахер поставил под сомнение async/ await. Создатель Flask заявляет: цветные функции - провал, виртуальные потоки - решение. Не threading-динозавры, а новое поколение лёгких потоков. Откат?. . .
Поиск "дружественных имён" СОМ портов Argus19 22.11.2025 Поиск "дружественных имён" СОМ портов На странице: https:/ / norseev. ru/ 2018/ 01/ 04/ comportlist_windows/ нашёл схожую тему. Там приведён код на С++, который показывает только имена СОМ портов, типа,. . .	Сколько Государство потратило денег на меня, обеспечивая инсулином. Programma_Boinc 20.11.2025 Сколько Государство потратило денег на меня, обеспечивая инсулином. Вот решила сделать интересный приблизительный подсчет, сколько государство потратило на меня денег на покупку инсулинов. . . .	Ломающие изменения в C#.NStar Alpha Etyuhibosecyu 20.11.2025 Уже можно не только тестировать, но и пользоваться C#. NStar - писать оконные приложения, содержащие надписи, кнопки, текстовые поля и даже изображения, например, моя игра "Три в ряд" написана на этом. . .	Мысли в слух kumehtar 18.11.2025 Кстати, совсем недавно имел разговор на тему медитаций с людьми. И обнаружил, что они вообще не понимают что такое медитация и зачем она нужна. Самые базовые вещи. Для них это - когда просто люди. . .	Создание Single Page Application на фреймах krapotkin 16.11.2025 Статья исключительно для начинающих. Подходы оригинальностью не блещут. В век Веб все очень привыкли к дизайну Single-Page-Application . Быстренько разберем подход "на фреймах". Мы делаем одну. . .

@Nazz 898 / 729 / 80 Регистрация: 12.03.2009 Сообщений: 2,804 Записей в блоге: 2
	20.09.2010, 21:24
	поточнее вопрос, а то что-то непонятно(( 0

@ICEBERG@ 20 / 19 / 3 Регистрация: 20.06.2010 Сообщений: 626
	21.09.2010, 00:11 [ТС]
	Что не понятного? У меня в коде пхп есть строка как в примере с паролем. Может этот пароль попасть в чужие руки? 0

@Delegat 106 / 16 / 4 Регистрация: 13.04.2009 Сообщений: 104
	21.09.2010, 10:07
	Может, если чужие руки имеют доступ к исходникам. А вообще пароли лучше шифровать для пущей надежности. 0

@Nazz 898 / 729 / 80 Регистрация: 12.03.2009 Сообщений: 2,804 Записей в блоге: 2
	21.09.2010, 10:11
	естли я не ошыбаюсь, то етим кодом вы найдёте вот такую строчку у вашему коду: http://URL&auth_name=USER&auth_pass=PASSWORD естли етот код будет где-то выводится типа echo, print, innerHTML, то тогда его можно будет найти и использовать, а так напрямую через php думаю что нельзя будет увидеть... 0

@Delegat 106 / 16 / 4 Регистрация: 13.04.2009 Сообщений: 104
	21.09.2010, 13:28
	Могут. Для предотвращения этого в настройках PHP стоит выключить отображение ошибок или настроить так, что бы не выводились ошибки MySQL. 0

@ICEBERG@ 20 / 19 / 3 Регистрация: 20.06.2010 Сообщений: 626
	21.09.2010, 14:56 [ТС]
	Где и как? 0

@Delegat 106 / 16 / 4 Регистрация: 13.04.2009 Сообщений: 104
	21.09.2010, 15:35
	Необходимо поправить php.ini на сервере. Изменить значение display_errors на Off. Это самый банально простой вариант. 0

@ICEBERG@ 20 / 19 / 3 Регистрация: 20.06.2010 Сообщений: 626
	21.09.2010, 15:53 [ТС]
	Что то я его не нашел на хостинге. 0

@Nazz 898 / 729 / 80 Регистрация: 12.03.2009 Сообщений: 2,804 Записей в блоге: 2
	21.09.2010, 15:54
	вы можете изменять настройки пхп-на хостинге? вы сами хостер? естли вы не хостер, то вряд ли у вас получится изменить файл php.ini! 0

@Delegat 106 / 16 / 4 Регистрация: 13.04.2009 Сообщений: 104
	21.09.2010, 16:10
	В крайнеем случае тогда через .htaccess. Создать в корне сайта тай файл и там написать php_flag display_errors off php_value error_reporting 0 А вообще http://www.hoster.ru/faq/q865.htm - тут все разжеванно 0

@ostgals 886 / 681 / 101 Регистрация: 23.01.2009 Сообщений: 1,582
	21.09.2010, 16:27
	Достаточно посмотреть любым сниффером ваш трафик, и злоумышленник легко прочитает указанный пароль. Не парьтесь - шифровать или хэшировать пароли следует обязательно. 0

@ICEBERG@ 20 / 19 / 3 Регистрация: 20.06.2010 Сообщений: 626
	21.09.2010, 16:31 [ТС]
	ostgals, Как? 0

@ICEBERG@ 20 / 19 / 3 Регистрация: 20.06.2010 Сообщений: 626
	22.09.2010, 22:40 [ТС]
	Это что то совершенно новое для меня. .md5 Что означает? 0