Tag Archives: php

SKT Full Width Theme for WordPress – How To Increase Homepage Slides Numbers

Together with the WordPress 3.9.2  on http://panorama360.photo I run my favourite photo theme SKT Full Width 1.3.9 (on 24 Aug 2014).

The free version of the theme offers 5 homepage sliders. If you buy a PRO version it will be increased to 15 pictures.

In my opinion even 15 slides could be not enough in some cases. Continue reading SKT Full Width Theme for WordPress – How To Increase Homepage Slides Numbers

1,072 total views, no views today

Session Hijacking

Typ ataku powiązany z poprzednim, kiedy ktoś ma wyłączone ciasteczka w przeglądarce to identyfikator sesji jest dołączany do adresu, gdy zalogowany użytkownik prześle ten identyfikator innemu użytkownikowi , to ten otrzymuje możliwość używania sesji zalogowanego użytkownika. Aby i przed tym atakiem się zabezpieczyć należy do poprzedniego skryptu dodać: Continue reading Session Hijacking

487 total views, no views today

Cross-site request forgery (CSRF)

Bardzo niebezpieczny typ ataku, polegający na wykorzystywaniu uprawnień osoby atakowanej. Polega on na przesłaniu osobie posiadającej uprawnienia do wykonania danej akcji (najczęściej administrator), linka który daną akcje wykonuję. Posłużmy się przykładem do opisania tego typu ataku: administrator do nadania przywileju administratora musi kliknąć w link przy danym użytkowniku nadający te uprawnienia, internauta przygotował odpowiedni link, który wygląda w następujący sposób: Continue reading Cross-site request forgery (CSRF)

362 total views, no views today

Przechowanie danych w plikach tekstowych

Często, zwłaszcza mniejsze serwisy zamiast bazy SQL używają plików jednorodnych do przechowywania danych. Najczęściej jest to zwykła treść strony (artykuły, newsy), niestety zdarza się także że są tam przechowywane loginy i hasła użytkowników serwisu. Osoba znająca nazwę tego pliku, może wyświetlić jego zawartość w przeglądarce internetowej. Aby uniemożliwić dostęp do plików należy je przechowywać poza drzewem katalogów. Najczęściej wygląda to tak że logując się do serwera FTP, wszystko co jest w katalogu www jest dostępne z poziomu przeglądarki internetowej, a wszystko co znajduje się wyżej od niego jedynie poprzez klienta FTP. Jeśli z plikiem łączyliśmy się w taki sposób: Continue reading Przechowanie danych w plikach tekstowych

365 total views, no views today

Zmienne globalne, register_globals

Gdy w pliku konfiguracyjnym PHP, dyrektywa register_globals jest ustawiona na wartość on, możemy do zmienny odwoływać się w wygodnym, krótkim stylu. Przykładowo jeśli w formularzu mamy pole o nazwie „zmienna” to w skrypcie PHP automatycznie zostaje zainicjowana zmienna o nazwie $zmienna, początkującym webmasterom taki sposób dostępu do zmiennych może wydawać się wygodny, jednak znacząco obniża on poziom bezpieczeństwa skryptu. Continue reading Zmienne globalne, register_globals

470 total views, no views today