PHP Can Do. ไปหน้าเว็บ PHP Mindphp.com รูปแบบใหม่

PHP เขียนเว็บ เนื้อหา บทความ เขียนโปรแกรม สอน Code PHP

ค้นหาข้อมูลภายในเว็บ Mindphp.com
วัดความเร็วเน็ตทดสอบความเร็วอินเตอร์เน็ต บทความ php   เนื้อหา php  เขียน บทความ php  เว็บบอร์ด php   ค้นหา
พื้นที่โฆษณา
PHP เมนูหลัก
icon_home.gif Mind php.com
icon_poll.gif เนื้อหา php
tree-T.gif เนื้อหา php
tree-T.gif คู่มือ Function
tree-T.gif วารสารสมาชิก
tree-L.gif คู่มือ phpมีข้อมูลใหม่ !
favoritos.gif บทความ php
tree-T.gif บทความ PHP
tree-T.gif เขียนบทความ
tree-L.gif ค้นหา
icon_community.gif เว็บบอร์ด php
tree-T.gif Programming - PHP
tree-T.gif CMS, CRM,...
tree-L.gif Html Css
icon_members.gif VDO Tutorial
tree-L.gif Video PHP Tutorial
som_downloads.gif โหลด and ลิงค์
tree-T.gif PHP ดาวน์โหลด
tree-L.gif สารบัญเว็บ PHP
som_downloads.gif วัดความเร็วเน็ตมีข้อมูลใหม่ !
som_downloads.gif Pdf Creatorมีข้อมูลใหม่ !
icon_community.gif สมัครสมาชิก
PHP ตัวอย่าง บทความ
เนื้อหา บทความ  เทคนิค ความรู้ php ใหม่ๆ
[ เนื้อหา บทความ เทคนิค ความรู้ php ใหม่ๆ ]
  • วิธีติดตั้ง mod_evasive สำหรับป้องกัน DOS DDOS สำหรับ Apache FreeBSD
  • php Unix Timestamp ของ วัน Valentine 1234567890
  • คำสัง Unix linux พื้นฐาน ใช้ได้ freebsd ก็อ่านได้
  • ความ แตกต่าง ของ ISAPI กับ CGI ของ php
  • PHP 5.2 UPDATE
  • XAMPP ติดตั้ง apache php Mysql ในคลิกเดียว
  • Integrating Active Directory with PHP
  • การเปรียบเทียบค่าของ ตัวแปล php โดยใช้ function
  • กลุ่มบทความ PHP
  • AJAX - PHP (5)
  • CMS - PHP (6)
  • CRM - PHP (5)
  • Function PHP (8)
  • Google (5)
  • JavaScript (7)
  • Joomla (11)
  • Jquery (2)
  • OOP - PHP (6)
  • Pear Zend Framework (3)
  • PHP Editor (8)
  • PHP-Nuke (9)
  • Phpbb (2)
  • Smarty (1)
  • SQL - MySql (16)
  • ความรู้ทั่วไป (18)
  • เทคนิค การเขียน PHP (24)
  • บทความ PHP (8)
  • พื้นฐาน PHP (6)

  • Error Reporting

    With PHP security, there are two sides to error reporting. One is beneficial to increasing security, the other is detrimental.

    A standard attack tactic involves profiling a system by feeding it improper data, and checking for the kinds, and contexts, of the errors which are returned. This allows the system cracker to probe for information about the server, to determine possible weaknesses. For example, if an attacker had gleaned information about a page based on a prior form submission, they may attempt to override variables, or modify them:

    Example #1 Attacking Variables with a custom HTML page

    <form method="post" action="attacktarget?username=badfoo&amp;password=badfoo">
    <input type="hidden" name="username" value="badfoo" />
    <input type="hidden" name="password" value="badfoo" />
    </form>

    The PHP errors which are normally returned can be quite helpful to a developer who is trying to debug a script, indicating such things as the function or file that failed, the PHP file it failed in, and the line number which the failure occurred in. This is all information that can be exploited. It is not uncommon for a php developer to use show_source(), highlight_string(), or highlight_file() as a debugging measure, but in a live site, this can expose hidden variables, unchecked syntax, and other dangerous information. Especially dangerous is running code from known sources with built-in debugging handlers, or using common debugging techniques. If the attacker can determine what general technique you are using, they may try to brute-force a page, by sending various common debugging strings:

    Example #2 Exploiting common debugging variables

    <form method="post" action="attacktarget?errors=Y&amp;showerrors=1&amp;debug=1">
    <input type="hidden" name="errors" value="Y" />
    <input type="hidden" name="showerrors" value="1" />
    <input type="hidden" name="debug" value="1" />
    </form>

    Regardless of the method of error handling, the ability to probe a system for errors leads to providing an attacker with more information.

    For example, the very style of a generic PHP error indicates a system is running PHP. If the attacker was looking at an .html page, and wanted to probe for the back-end (to look for known weaknesses in the system), by feeding it the wrong data they may be able to determine that a system was built with PHP.

    A function error can indicate whether a system may be running a specific database engine, or give clues as to how a web page or programmed or designed. This allows for deeper investigation into open database ports, or to look for specific bugs or weaknesses in a web page. By feeding different pieces of bad data, for example, an attacker can determine the order of authentication in a script, (from the line number errors) as well as probe for exploits that may be exploited in different locations in the script.

    A filesystem or general PHP error can indicate what permissions the web server has, as well as the structure and organization of files on the web server. Developer written error code can aggravate this problem, leading to easy exploitation of formerly "hidden" information.

    There are three major solutions to this issue. The first is to scrutinize all functions, and attempt to compensate for the bulk of the errors. The second is to disable error reporting entirely on the running code. The third is to use PHP's custom error handling functions to create your own error handler. Depending on your security policy, you may find all three to be applicable to your situation.

    One way of catching this issue ahead of time is to make use of PHP's own error_reporting(), to help you secure your code and find variable usage that may be dangerous. By testing your code, prior to deployment, with E_ALL, you can quickly find areas where your variables may be open to poisoning or modification in other ways. Once you are ready for deployment, you should either disable error reporting completely by setting error_reporting() to 0, or turn off the error display using the php.ini option display_errors, to insulate your code from probing. If you choose to do the latter, you should also define the path to your log file using the error_log ini directive, and turn log_errors on.

    Example #3 Finding dangerous variables with E_ALL

    <?php
    if ($username) {  // Not initialized or checked before usage
        
    $good_login 1;
    }
    if (
    $good_login == 1) { // If above test fails, not initialized or checked before usage
        
    readfile ("/highly/sensitive/data/index.html");
    }
    ?>


    Advertising unit Ads
    บทความ Mind php
    > ทดสอบความเร็วเน็ต
    > ดาวน์โหลด MSN 9.0
    > บทความ
     >> เช็คเลขบัตรประชาชน
     >> แบ่งหน้าแสดงผล โค้ดแบ่งหน้า แบ่งหน้า php
     >> PHP แปลงตัวเลข เป็น เงินบาท
     >> วิธีสมัคร และใช้งาน no-ip
     >> สร้างไฟล์ PDF ด้วย PHP
     >> การใช้ phpmyadmin
     >> การ Select ข้อมูล Joins 2 ตาราง
     >> การแก้ปัญหา ภาษาไทย MySql เป็น ????
     >> การติดตั้ง โมดูล php-nuke
     >> การอัพโหลดไฟล์ ด้วย php
     >> PHP OOP คืออะไร
     >> บทความ CRM
     >> Http คืออะไร
    กระทู้เด่น
     >> วิธีติดตั้ง XAMPP
     >> วิธีติดตั้ง Appserv
     >> วิธีติดตั้ง Joomla 1.5
     >> วิธีติดตั้ง phpbb
     >> บอร์ด phpBB3 ของไทย
     >> โปรแกรมแปลงไฟล์
    รวม Free Code PHP Class Script
    Unix Timestamp Coverter
    * รวม Code PHPClass
    * Wallpaper Sport & Tutorial
    เกมส์ Flash เครื่องบิน
    วิธีแก้ เข้า regedit ไม่ได้
    วิธีแก้เข้า task manager ไม่ได้
    ผู้ที่กำลังใช้งานอยู่
    ขณะนี้มี 27 บุคคลทั่วไป และ 0 สมาชิกเข้าชม

    ท่านยังไม่ได้ลงทะเบียนเป็นสมาชิก กรุณาสมัครที่นี่
    คลิปวีดีโอสอน
    hmailserver ทำ Mail Server ใช้ในองศ์กร ด้วยโปรแกรมฟรี

    โดย: mindphp
    เมื่อ: 08th Feb 2010
    เข้าชม: 27971
    ให้คะแนน: 1.00 โหวต: 1

    ติดตั้ง PHP5 แบบ FastCGI บน IIS7 Windows 2008 Server

    โดย: mindphp
    เมื่อ: 26th Jan 2010
    เข้าชม: 20907
    ให้คะแนน: 0.00 โหวต: 0

    วีดีโอสอน การใช้งาน Teamviewer ฉบับภาษาไทย ใน คลิป เป็น teamviewer เวอร์ชั่น 5

    โดย: mindphp
    เมื่อ: 15th Jan 2010
    เข้าชม: 34605
    ให้คะแนน: 3.33 โหวต: 6

    มาดู Android Review on Youtube กัน Android ระบบปฏิบัตการบนมือถือ

    โดย: mindphp
    เมื่อ: 12th Jan 2010
    เข้าชม: 18419
    ให้คะแนน: 0.00 โหวต: 0

    คู่มือการใช้ microsoft office 2007 วีดีโอ Tutorial สอนการใช้ microsoft office 2007

    โดย: mindphp
    เมื่อ: 12th Jan 2010
    เข้าชม: 29216
    ให้คะแนน: 5.00 โหวต: 2

    ส่วนประกอบของ photoshop ความสามารถของ โปรแกรม Photoshop Feature

    โดย: mindphp
    เมื่อ: 12th Jan 2010
    เข้าชม: 18788
    ให้คะแนน: 0.00 โหวต: 0

    วิธี Download Microsoft Office 2007 Free

    โดย: mindphp
    เมื่อ: 10th Jan 2010
    เข้าชม: 62341
    ให้คะแนน: 4.17 โหวต: 6

    คอมพิวเตอร์โน๊ตบุ๊ค วีดีโอเปรียบเทียบคอมพิวเตอร์โน๊ตบุ๊ค แต่ละเจ้าศึกษารายละเอียดก่อนเลือกซื้อ

    โดย: mindphp
    เมื่อ: 10th Jan 2010
    เข้าชม: 18529
    ให้คะแนน: 0.00 โหวต: 0

    คลิปแต่งรูป วีดีโอสอน แต่งรูป

    โดย: mindphp
    เมื่อ: 10th Jan 2010
    เข้าชม: 20091
    ให้คะแนน: 0.00 โหวต: 0

    Intel Core 2 Quad Q8400 - CPU Review

    โดย: mindphp
    เมื่อ: 25th Sep 2009
    เข้าชม: 22021
    ให้คะแนน: 3.00 โหวต: 1

    สนับสนุน Mindphp
    หน้าหลัก Mind php เข้าระบบ mind php เผยแพร่ข่าวสาร ดาวน์โหลด ติดต่อเรา สารบัญเว็บ กระดานข่าว php ค้นหา ลงโฆษณา ถาม/ตอบ
    BasLover.com
    ดิกชันนารี ไทย อังกฤษ
    http://เที่ยวฮ่องกง เพียง 11,900บาท--> {พูดคุยกีฬาไทย} insitejapan.com ThaiLandHotelForum hobbyinter.com [Download msn 9.0]


    การสร้างหน้าเอกสาร: 0.05 วินาที