[Tut] Zabezpieczenie Is Przed "Sm Panel"

[mathiasek]

Witajcie ,

Na wstępie chciałbym powiedzieć że jest to mój 1 tutek więc prosił bym o wyrozumiałość

Zapewne wielu administratorów prywatnych serwerów metin2 miało problem z , nie oszukujmy się "dziećmi neo" dodającymi sobie monety (SM) tak zwanym "SM panelem".

Linka do takowego nie daję , ponieważ nie chcę spowodować "epidemii" tylko jej zapobiec

.

Więc tak , na początek trzeba przerobić skrypt dodający monety

.

Skrypt nie może :

- wysyłać danych $_post

- korzystać z kolumny "cash"

- być nie zabezpieczonym przed sql injection

Pewnie wielu z was zastanawia się co to "sql injection" ?

Otóż jest to atak na bazę mysql , za pomocą zapytań (query) jest to metoda zakazana przez prawo polskie

.

Najprościej zabezpieczyć się przed tym wg :

To jest ukryta treść, proszę

• Zaloguj się
• lub
• Zarejestruj się

Jeżeli ktoś dalej nie wie co to , polecam :

To jest ukryta treść, proszę

• Zaloguj się
• lub
• Zarejestruj się

Jeżeli zajęliśmy się już tym pora na przerobienie skryptu (najlepiej poprosić web mastera) , by nie wysyłał danych $_POST

Ostatnim z zabezpieczeń jest zmiana kolumny , jest to dość prosta sprawa

. Wystarczy w bazie account dodać kolumnę np "coins" i dopisać to w skrypcie

Następnie nadać prawa :

To jest ukryta treść, proszę

• Zaloguj się
• lub
• Zarejestruj się

I po robocie

.

Polecam też wczytywanie kodów z listy , jest to dodatkowe zabezpieczenie , gdyż "SM panel" działa na serwery , które mają generowanie kodów w serwisie

Drogi czytelniku jeżeli zamierzasz napisać , że ten tutek jest nie potrzebny , źle wytłumaczony , lub już był to daruj sobie , bo jakoś takowego nie znalazłem

.

Z tego co widzę jestem jedyną dość miłą osobą by pomóc innym administratorom

Pozdrawiam i życzę Szczęśliwego Nowego Roku

[XaviPrawdziwy]

- wysyłać danych $_post

Bzdura, przy poprawnie napisanym skrypcie może wszystko iść POSTem.

[mathiasek]

Bzdura, przy poprawnie napisanym skrypcie może wszystko iść POSTem.

 

Nie bzdura , mój web master mi to tłumaczył ... $_post można "data tamperem" edytować , a jeżeli jednak się mylę to bezpieczniej bez tego

 

Oczywiście mówimy tu o skryptach item shopu.

[MrJazor]

Zabezpieczyłeś ty serwer?

Oby nie

Ale cóż wg mnie się przyda, zasłużony plusik.

[XaviPrawdziwy]

A gety w urlu mozna zmieniac. U mnie wpisany kod leci postem do skryptu, tam jest wstepne sprawdzenie kodu pod kątem tego czy to jest sam kod czy przypadkiem ktos nie dodal czegos od siebie i jak jest ok to sprawdzenie skryptem dotpayowskim(kody sprawdzane u nich) U mnie to zdaje egzamin

[mathiasek]

A gety w urlu mozna zmieniac. U mnie wpisany kod leci postem do skryptu, tam jest wstepne sprawdzenie kodu pod kątem tego czy to jest sam kod czy przypadkiem ktos nie dodal czegos od siebie i jak jest ok to sprawdzenie skryptem dotpayowskim(kody sprawdzane u nich) U mnie to zdaje egzamin

 

No widzisz , ja mam inne sposoby i zabezpieczenia

 

Podalem tylko podstawowe , sam mam ich więcej

[XaviPrawdziwy]

Spoko, po prostu zwracam uwage, ze nie ma co sie na post'y obrazac. pzdr.