SICUREZZA DI PHP NUKE

Ho appena letto un articolo su html.it riguardo a phpnuke
http://webnews.html.it/focus/295.htm
Molti immagino giá sappiano di cosa tratta.

Premetto che non conosco Phpnuke scrivendomi tutto il php a mano. Quello che mi chiedo é cosa ha di meglio questo Cms rispetto ai concorrenti se ha tutti questi problemi?

Piú concretamente vorrei invece sapere cosa é esattamente questa tecnica delle "sql injection". Cioé si inseriscono delle chiamate sql che richiamano dal database praticamente tutto (anche password... proprio tutto) ma come si fanno concretamente? vorrei saperlo anche per in ogni caso prendere delle contromisure in caso sia vulnerabile anche io.

[Evcz]

1) il fatto non è che phpnuke sia meglio deglia altri CMS ma la realtà è che gli altri CMS sono delle COPIE MODIFICATE di phpnuke (postnuke da cui deriva envolution e stato a sua volta creato partendo dalle basi di phpnuke )

da quello che ho capito io con le sql injection tu puoi far eseguire qualsiasi query tu voglia visto ke il modo in cui vengono passate le variabili (non viene eseguito alcun controllo per filtrarle)

[esempio]
SELECT * FROM tabella where id='$id'

risulta un ottima porta aperta a chiunque verso il proprio database... in quanto l'operazione effettuata dipende dal contenuto di $id.... che non è detto ke sia semplicemente un numero

byez

Grazie della risposta. Mi sono anche un po girato siti inglesi sull'argomento. Comunque é veramente incredibile come un software come phpnuke non effettui adeguati filtraggi sulle variabili da processare... ho visto cosa basterebbe per proteggersi dalle injections... veramente poco (cioé bastava stare attenti in fase di sviluppo ora come ora penso si dovrebbe riscrivere tutto....)
Mah....

[Evcz]

Grazie della risposta. Mi sono anche un po girato siti inglesi sull'argomento. Comunque é veramente incredibile come un software come phpnuke non effettui adeguati filtraggi sulle variabili da processare... ho visto cosa basterebbe per proteggersi dalle injections... veramente poco (cioé bastava stare attenti in fase di sviluppo ora come ora penso si dovrebbe riscrivere tutto....)
Mah....

beh... riscrivere tutto non proprio... sarebbe già un buon inizio controllare le variabili con le stringhe (ereg) e tagliarle se sono nume o se hanno spazi o se so strane... ecc...

cmq è già pronta la versione 6.6 che a quanto pare contenga un po' di correzzioni verso questa direzione... di certo il lavoro da fare è veramente tanto....