0

我想知道什么可以允许用户入侵我的网站,他们更改了我的用户名、个人信息和密码。有人可以给我一些关于它可能是什么的建议。我正在使用 PHP MySQL 和 HTMLPURIFIER。

这是登录脚本。

<?php
if (isset($_POST['submitted'])) { // start of submit conditional.
    require_once (MYSQL);

    // Validate the username or email address:
    if (!empty($_POST['login']) && strlen($_POST['login']) <= 255) {
        $e = mysqli_real_escape_string($dbc, $purifier->purify(strip_tags($_POST['login'])));
    } else if(!empty($_POST['login']) && strlen($_POST['login']) >= 256) {
        $e = FALSE;
        echo '<p>Your username or email address cannot exceed 255 characters!</p>';
    } else {    
        $e = FALSE;
        echo '<p>You forgot to enter your username or email address!</p>';
    }

    // Validate the password:
    if (!empty($_POST['pass']) && strlen($_POST['pass']) <= 255) {
        $p = mysqli_real_escape_string($dbc, $_POST['pass']);
    } else if(!empty($_POST['pass']) && strlen($_POST['pass']) >= 256) {
        $p = FALSE;
        echo '<p>Your password cannot exceed 255 characters!</p>';
    } else {
        $p = FALSE;
        echo '<p>You forgot to enter your password!</p>';
    }

    if(($e != FALSE) && ($p != FALSE)) { // check pass
        $pass_salt = "SELECT users.password, users.salt FROM users JOIN contact_info ON contact_info.user_id = users.user_id WHERE (contact_info.email = '" . $e . "' OR users.username = '" . $e . "') AND users.active IS NULL";
        $ph = mysqli_query($dbc, $pass_salt) or trigger_error("Query: $pass_salt\n<br />MySQL Error: " . mysqli_error($dbc));

        while($row = mysqli_fetch_array($ph)){ 
            $password = $row['password'];
            $salt = $row['salt'];
        }

        if(!empty($salt)) {
            $sha512 = hash('sha512', $p . $salt);
        }

        if(!empty($password) == !empty($sha512)){
            $user_pass = TRUE;
        } else {
            $user_pass = FALSE;
        }
    }


    if(isset($user_pass) && ($user_pass == TRUE) && !empty($salt)) { // If everything's OK.
        // Query the database:
        $q = "SELECT users.user_id, users.first_name, users.user_level FROM users JOIN contact_info ON contact_info.user_id = users.user_id WHERE (contact_info.email = '" . $e . "' OR users.username = '" . $e . "') AND users.password = '" . $sha512 . "' AND users.active IS NULL";        
        $r = mysqli_query ($dbc, $q) or trigger_error("Query: $q\n<br />MySQL Error: " . mysqli_error($dbc));


        if (@mysqli_num_rows($r) == 1) { // A match was made.

            // Register the values & redirect:
            $_SESSION = mysqli_fetch_array ($r, MYSQLI_ASSOC); 
            // check if user is logged in then update the old login date
            $u = "UPDATE users JOIN contact_info ON contact_info.user_id = users.user_id SET users.last_login = NOW(), users.deletion = 0, users.deletion_date = NULL WHERE (contact_info.email = '" . $e . "' OR users.username = '" . $e . "') AND users.password = '" . $sha512 . "' AND users.active IS NULL"; 
            // save the info to the database
            $r = mysqli_query ($dbc, $u);
            mysqli_free_result($r);
            mysqli_close($dbc);

            $url = BASE_URL . 'home/index.php'; // Define the URL:
            header("Location: $url");
            exit(); // Quit the script.

        } else { // No match was made.
            echo '<p>Either your username, email address or password entered do not match those on file or you have not yet activated your account.</p>';
        }

    } else { // If everything wasn't OK.
        echo '<p>Please try again.</p>';
    }

    mysqli_close($dbc);

} // end of submit conditional.
?>
4

6 回答 6

2

您应该了解 SQL 注入。这就是我首先想到的(注意 MySql 的使用)。为了防止这种情况,您必须通过使用mysql_real_escape_string()(不同mysql_escape_string()的被认为已弃用)来清理用户输入。尽管有这个解决方案,我还是建议您使用PDOMysqli(我通常不鼓励这个),以便通过使用Prepared Statements来解决 SQL 注入问题。

那么您可能应该知道 XSS(跨站点脚本)可能在您的代码中“注入”了某种恶意 Javascript 脚本。htmlspecialchars()您可以通过使 HTML 标记(例如<script>)不被视为 HTML 标记来解决这个问题。

另请查看此PHP 漏洞列表

附言

为了使您的代码更具可读性和“正确性”,我建议您更改strlen($_POST['login']) >= 256strlen($_POST['login']) > 255which is the same 但让读者立即理解真正的限制不是256but 255

于 2011-04-07T16:30:02.540 回答
0

如果 HTMLPURIFIER 对所有面向 db 的输入都正确实施,那么您应该评估您是如何传输登录信息的。您是否在客户端提交之前进行了预哈希处理。

我假设原因是表单上有一个未过滤的输入,它让一些 SQL 注入代码通过。

于 2011-04-07T18:04:17.763 回答
0

如果您允许用户上传图片,您可能已经成为 GIF 漏洞利用的受害者。如果您的服务器设置不安全,查看其中嵌入 PHP 代码的 GIF 将执行该代码。检查您是否可以在您的系统上找到任何 .gif.php(或 .php.gif)文件,如果黑客自己忘记清理,它们可能仍然存在。

于 2011-04-07T16:45:34.907 回答
0

首先,确保他们不能执行 SQL 注入。这大概就是他们所做的。这通常是由执行的输入字段引起的。执行此操作的人只需键入 SQL 命令。

您可以在此处查看详细信息。

哦,欢迎来到 StackOverflow.com!我希望你喜欢这个网站!

于 2011-04-07T16:26:40.223 回答
0

除了 DalexL 答案之外,请检查您是否拥有连接数据库的强密码。

于 2011-04-07T16:29:06.190 回答
0

我很确定这并没有发生在原始海报上,但众所周知,欺骗性公司会向拥有网站的公司发送“账单”。“票据”中的细则将域名从公司转移到了欺骗性公司。

这是一个例子:美国域名注册骗局

于 2011-04-07T16:32:02.650 回答