marsleeza_85 0 Report post Posted December 24, 2008 baru-baru ini saya dicabar oleh officemate saya psl system security..die berjaya godam dlm system saya..tetapi system saya mmg xder security...so saya nak tao code programming yg boleh prevent any kind of hacking..mintak pendapat semua ahli putera.com...tolong la ajar saya... Quote Share this post Link to post Share on other sites
BasicCX 27 Report post Posted December 24, 2008 Kod aturcara perlu diperkemaskan lagi. Rasanya dalam kod saudari ni banyak 'leaking'. Boleh la buat trouble shooting kod tersebut dan tampal untuk ditingkatkan lagi tahap keselamatannya. Quote Share this post Link to post Share on other sites
yurckk 0 Report post Posted December 24, 2008 QUOTE(marsleeza_85 @ Dec 24 2008, 01:01 PM) <{POST_SNAPBACK}>baru-baru ini saya dicabar oleh officemate saya psl system security..die berjaya godam dlm system saya..tetapi system saya mmg xder security...so saya nak tao code programming yg boleh prevent any kind of hacking..mintak pendapat semua ahli putera.com...tolong la ajar saya...godam direct from ur PC(he/she as ur PC user)?godam from LAN?godam from WAN? Quote Share this post Link to post Share on other sites
Sousuke Aizen 4 Report post Posted December 24, 2008 Cik kak ni pakai programming apa? Sbb kalo guna PHP ada cara utk elakkan dari kena godam...Ada cara lebih secure.... Encrypt password dgn username dan guna session je setiap kali nak login... Quote Share this post Link to post Share on other sites
ICEBOX 0 Report post Posted December 24, 2008 mcm2 problem ye...tul kata Exception 2008 tu.....cubalah... Quote Share this post Link to post Share on other sites
MatchMaker 0 Report post Posted December 24, 2008 terlalu besar definasi godam tu. so kalau boleh tolong jawab soalan yang yurckk bagi.kalau setakat password guessing, tu memang salah cik kak la nampaknya. Quote Share this post Link to post Share on other sites
marsleeza_85 0 Report post Posted December 24, 2008 die godam melalui LAN Quote Share this post Link to post Share on other sites
marsleeza_85 0 Report post Posted December 24, 2008 kat bawah ni adalah code untuk login_process..<code><?session_start();include "connect.php";unset($_SESSION['userid']);unset($_SESSION['userlevel']);?><title>Sistem Kehadiran Kursus</title><?$userid = $_POST['userid'];$userid = strtoupper($userid);$password = $_POST['password'];$status="OK";if (!$_POST['userid'])$status="KO";if (!$_POST['password'])$status="KO";if ($status == "KO")include "login.php";if ($status == "OK"){ $login = mysql_query("SELECT * FROM pengguna WHERE pg_nokp = '$userid'"); $numrows = mysql_num_rows($login); if ($numrows==0) { echo "<script language='JavaScript'> alert('ID Pengguna ini tidak wujud');</script>"; include "login.php"; } if ($numrows==1) { $row = mysql_fetch_array($login); $katalaluan = $row['pg_katalaluan']; $level = $row['pg_level']; $pwdate = $row['pg_pw_old']; $time = date("H:i d-m-Y"); $ip = $_SERVER['REMOTE_ADDR']; if ($password != $katalaluan) { echo "<script language='JavaScript'> alert('Katalaluan tidak sah');</script>"; include "login.php"; } if ($password == $katalaluan) { $_SESSION['userid'] = $userid; $update=mysql_query("UPDATE pengguna SET pg_status='ONLINE',pg_online_time='$time',pg_ip='$ip' WHERE pg_nokp='$userid'"); if ($katalaluan != $userid && $pwdate!="") { $pwdate2 = date("d-m-Y"); $pwday = substr( $pwdate, 0, 2 ); $pwmonth = substr( $pwdate, 3, 2 ); $pwyear = substr( $pwdate, 6, 4 ); $pwday2 = substr( $pwdate2, 0, 2 ); $pwmonth2 = substr( $pwdate2, 3, 2 ); $pwyear2 = substr( $pwdate2, 6, 4 ); $start = strtotime($pwmonth."/".$pwday."/".$pwyear); $end = strtotime($pwmonth2."/".$pwday2."/".$pwyear2); $kira = abs($end-$start); $kira_2 = floor($kira/86400); $bilhari = $kira_2+1; if ($bilhari > 30) { echo "<script language='JavaScript'> alert('Katalaluan anda tidak ditukar selama lebih 30 hari.\\nSila tukar katalaluan anda');</script>"; } $checklog=mysql_query("SELECT * FROM pengguna WHERE pg_nokp='$userid'"); $rowlog=mysql_fetch_array($checklog); $logstat=$rowlog['pg_status']; $ipadd=$rowlog['pg_online_time']; } if ($level == "STAF") { $_SESSION['userlevel'] = 2; include "staf_page.php"; } if ($level == "ADMIN" || $level == "SYSADMIN") { if ($pwdate=="") { echo "<script language='JavaScript'> alert('Anda sedang menggunakan katalaluan default.\\nSila tukar katalaluan anda');</script>"; } if ($level == "ADMIN") $_SESSION['userlevel'] = 1; if ($level == "SYSADMIN") $_SESSION['userlevel'] = 0; include "admin_page.php"; } } }}?></code> Quote Share this post Link to post Share on other sites
slier 28 Report post Posted December 24, 2008 (edited) posibble hackz through -sesion hijack-sql injectionif he/she say that he hackz through Lan..that also mean that he/she had done directory traversal or perhaps he had acces through ur database and grab ur user login credentialgoogle for more info Edited December 24, 2008 by slier Quote Share this post Link to post Share on other sites
kripkorn 1 Report post Posted December 24, 2008 session login tuh pun dah terang2 bleh sql inject. mudah je taip 3 huruf dah bleh masuk. Quote Share this post Link to post Share on other sites
ejoe 0 Report post Posted December 24, 2008 encryptkan passwordkalo ada phpmyadmin, tlg letakkan password Quote Share this post Link to post Share on other sites
kaizen 0 Report post Posted December 24, 2008 member anda tuh godam guna LAN.. tak specific la anda bagi tahu..dari segi programming untuk application.. untuk basic securityuntuk Part LOGIN. aper yang perlu ada1) VALIDATION setiap input data yang masuk ke dalam database - andaikata data hendak dimasukkan ke dalam database hanya nombor sahaja - contoh telephone.. guna javascript or php untuk filter agar nomber sahaja boleh terima. - contohnya data email - boleh guna php or javascript untuk filter.. data berformat email boleh masuk ke database.2) ENCRYPT data penting ke dalam database - password mesti encrypt [ jaga password user ] & guna mysql_escape_string (elakkan command SQL injection ) 3) SESSION - untuk security page supaya takde org boleh jump page sesuka hati.. - masa login . setkan session.. create ID, username user ke dalam SESSION. so bila pergi ke page yang guest tak boleh capai.. jika session TRUE (true akan jadi bila login berjaya) .. so baru dapat view page tersebut. * benda ni perlu pemahaman konsep dgn betul... anda boleh google or rakan seprogramming anda untuk lebih tahu.3 nih wajib ada..more advance sikit..guna CAPTCHA (googlekan diri jika ingin tahu lebih lanjut )- user kene masuk security code berdasarkan image yang keluarkan nombor & huruf. Ini nak elakkan spam bot or mana2 tool boleh try login teka username n password.saya tak bagi code.. just nk bagi serba sedikit kefahaman konsep dan ape perlu tahu.. Quote Share this post Link to post Share on other sites
kaizen 0 Report post Posted December 24, 2008 member anda tuh godam guna LAN.. tak specific la anda bagi tahu..dari segi programming untuk application.. untuk basic securityuntuk Part LOGIN. aper yang perlu ada1) VALIDATION setiap input data yang masuk ke dalam database - andaikata data hendak dimasukkan ke dalam database hanya nombor sahaja - contoh telephone.. guna javascript or php untuk filter agar nomber sahaja boleh terima. - contohnya data email - boleh guna php or javascript untuk filter.. data berformat email boleh masuk ke database.2) ENCRYPT data penting ke dalam database - password mesti encrypt [ jaga password user ] & guna mysql_escape_string (elakkan command SQL injection ) 3) SESSION - untuk security page supaya takde org boleh jump page sesuka hati.. - masa login . setkan session.. create ID, username user ke dalam SESSION. so bila pergi ke page yang guest tak boleh capai.. jika session TRUE (true akan jadi bila login berjaya) .. so baru dapat view page tersebut. * benda ni perlu pemahaman konsep dgn betul... anda boleh google or rakan seprogramming anda untuk lebih tahu.3 nih wajib ada..more advance sikit..guna CAPTCHA (googlekan diri jika ingin tahu lebih lanjut )- user kene masuk security code berdasarkan image yang keluarkan nombor & huruf. Ini nak elakkan spam bot or mana2 tool boleh try login teka username n password.saya tak bagi code.. just nk bagi serba sedikit kefahaman konsep dan ape perlu tahu.. Quote Share this post Link to post Share on other sites
XShimeX 0 Report post Posted December 26, 2008 (edited) aku selalu guna str_ireplace guna remove ' dan eregi untuk elakkan daripada "char" lain.CODE$username = strip_tags($_POST['username']);$username = str_ireplace("'","", $username);Refer 1 : http://www.php.net/strip_tagsRefer 2 :http://us2.php.net/str_ireplaceCODEif ((eregi("[^a-zA-Z0-9_-]", $username)) || (eregi("[^a-zA-Z0-9_-]", $password)) || (eregi("[^a-zA-Z0-9_-]", $password2))){echo 'Wrong Character Detect';}else{}Refer : http://www.php.net/eregicontoh stripslashesCODE$username = stripslashes($_POST['username']);Refer : http://www.php.net/stripslashescontoh mysql_real_escape_stringCODE$username = mysql_real_escape_string($_POST['username']);Refer : http://www.php.net/mysql_real_escape_stringp/s: aku tak cuba lagi script ni, aku cuma copy dari file yang aku simpan kat pc....malas nak try .- edit - Pergi dekat http://www.phpclasses.org ada banyak script login/register dan lain-lain yang secure.Harap dapat menbantu . Edited December 26, 2008 by XShimeX Quote Share this post Link to post Share on other sites