View Full Version : سوال: بررسی کد از لحاظ امنیتی
mnajafi33
پنج شنبه 12 آذر 1394, 17:31 عصر
سلام
من یه اسکریپتی برای ثبت نام نوشتم که پرداخا آنلاین داره اسکریپت تو تمومکردم حالا یه وسوال داشتم کد صفحه برگشت از پرداخت رو میزام ببینین عیب و ایرادی از لحاظ امنیتی نداره
لطفا راهنماییم کنید
باتشکر
mojooriass
پنج شنبه 12 آذر 1394, 22:42 عصر
در کل اسکریپ دارای باگ sql injection هست چون شما امدی مستقیم ورودی ها را داخل دیتابیس ذخیره کردید و از pdo هم استفاده نکردید و به دلیل مشابه xss هم داره مورد بعدی شما از session ها به صورت معمولی استفاده کردید و ان ها را نه در فایل و نه در دیتابیس ذخیره کردید که این کار در هاست های اشتراکی بسیار خطرناک . مورد بعدی هیچ بررسی انجام ندادید که ببینید تراکنش قبلا انجام شده یا نه اگر از درگاه مستقیم بانک استفاده میکنید مشکلی نداره ولی درصورتی که از درگاه های واسط استفاده میکنید باید چک کنید ببینید قبلا این تراکنش به سایت شما برگشت داده شده یا نه چون اگر برای مثال شما از درگاه واسط استفاده کنید (مانند payline) بعد از این که کاربر یک بار تراکنش را انجام داد با کلید back مرورگر به سایت payline بر میگرده و دوباره تایید خرید میکنه .
mnajafi33
پنج شنبه 12 آذر 1394, 23:00 عصر
در کل اسکریپ دارای باگ sql injection هست چون شما امدی مستقیم ورودی ها را داخل دیتابیس ذخیره کردید و از pdo هم استفاده نکردید و به دلیل مشابه xss هم داره مورد بعدی شما از session ها به صورت معمولی استفاده کردید و ان ها را نه در فایل و نه در دیتابیس ذخیره کردید که این کار در هاست های اشتراکی بسیار خطرناک . مورد بعدی هیچ بررسی انجام ندادید که ببینید تراکنش قبلا انجام شده یا نه اگر از درگاه مستقیم بانک استفاده میکنید مشکلی نداره ولی درصورتی که از درگاه های واسط استفاده میکنید باید چک کنید ببینید قبلا این تراکنش به سایت شما برگشت داده شده یا نه چون اگر برای مثال شما از درگاه واسط استفاده کنید (مانند payline) بعد از این که کاربر یک بار تراکنش را انجام داد با کلید back مرورگر به سایت payline بر میگرده و دوباره تایید خرید میکنه .
میتونید راهنماییم کنید چطوری درستش کنم
یا که اسکریپت رو بفرستم
باتشکر
vBulletin® v4.2.5, Copyright ©2000-1403, Jelsoft Enterprises Ltd.