Navigacija
Lista poslednjih: 16, 32, 64, 128 poruka.

PHP Security script

[es] :: PHP :: PHP Security script

[ Pregleda: 3357 | Odgovora: 5 ] > FB > Twit

Postavi temu Odgovori

Autor

Pretraga teme: Traži
Markiranje Štampanje RSS

Cuchulainn
Cuchulainn
Beograd

Član broj: 63498
Poruke: 36
*.dynamic.sbb.co.yu.



Profil

icon PHP Security script17.11.2006. u 16:01 - pre 211 meseci
Koji je najbolji tj najsigurniji nacin kreiranja PHP web aplikacija da ne bi ista mogla da se hackuje?
Moje iskustvo kaze da je nacin prenosenja parametra tipa index.php?main=strana lose i nesigurno resenje.
 
Odgovor na temu

flylord
Ilić Aleksandar
Simplicity d.o.o.
Nis/Uzice

Član broj: 2954
Poruke: 3859
*.dynamic.sbb.co.yu.

ICQ: 4849714


+68 Profil

icon Re: PHP Security script17.11.2006. u 16:12 - pre 211 meseci
Nemas bas neki veliki izbor u nekim situacijama, sem da pravis POST forme, ali ti, iskreno, dodje na isto sa stanovista sigurnosti.
Poenta je da handlujes svaku promenjivu, svaki request. Jer ti uvek znas kakve podatke ocekujes, i ti onda samo odradis proveru da li dobijas takve podatke i eventualno odradis neke konverzije.

Na primer. Imas ID koji saljes preko url-a. On je integer tipa.
Code:

$id = (int)$_GET['int'];


Ovako ces se osiguras da je to uvek integer, bez obzira sta neko poslao. Naravno, ovde mozes da napravis daleko komplikovanije provere po potrebi.

Ali, opet da napomenem, jako je bitno da handlujes svaku promenjivu.
Ja, na primer, ne koristim nikad $_GET, $_POST ili $_REQUEST. Imam svoju klasu TRequest, koja ima funkcije getGet, getPost i getRequest. I onda u okviru tih funkcija radim handlovanje, ali na osnovu prefixa. Meni sve promenjive iz requesta imaju prefix, na primer: int_ str_ txt_ dec_
Naravno, ovde moze se naprave jos bolji sistemi preko prefixa, Da proveravas da duzinu stringa, da li je obavezna promenjiva ili ne. Dosta toga.

Drugi nacin je da napravis fitter na ulazu u celu aplikaciju, koja pre nego sto pocnes da bilo sta radis i koristis request, automatski obradi kompletan request, po odgovarajucim pravilima.




[Ovu poruku je menjao flylord dana 17.11.2006. u 17:57 GMT+1]
 
Odgovor na temu

sale83
Australia
Sydney

Član broj: 41625
Poruke: 729
*.ispone.net.au.



+30 Profil

icon Re: PHP Security script18.11.2006. u 01:23 - pre 211 meseci
Citat:
Cuchulainn: Koji je najbolji tj najsigurniji nacin kreiranja PHP web aplikacija da ne bi ista mogla da se hackuje?
Moje iskustvo kaze da je nacin prenosenja parametra tipa index.php?main=strana lose i nesigurno resenje.


A zasto mislis da je to lose i nesigurno resenje ???

Pa lose "Nesigurno" je onda i samo onda kad to programer odradi traljavo...

Poz
sale
Sto mozes danas ne ostavljaj za sutra!
 
Odgovor na temu

Jezdimir Lončar
Aka Blazeme
PHP/jQuery Dev, BildStudio
Crna Gora / Pljevlja

Član broj: 74833
Poruke: 674
*.crnagora.net.

Jabber: jezdonet@gmail.com


+4 Profil

icon Re: PHP Security script18.11.2006. u 08:49 - pre 211 meseci
Citat:
sale83:
Pa lose "Nesigurno" je onda i samo onda kad to programer odradi traljavo...

Apsulutno.
Moze samo da postoji bar bugova koji se nalaze u samom phpu medjutim, bugovi u skripti su propusti developera.
Sad, ne kazem ja da skripta moze biti 100% bez bugova ali se to moze smanjiti na sto manji broj ...
“I never think of the future - it comes soon enough.” - Albert Anštajn (Albert Einstein)
 
Odgovor na temu

1r0nM4n
Nenad Vasić
Web Developer
Beograd

Član broj: 55970
Poruke: 441
*.122.eunet.yu.

ICQ: 303614173
Sajt: www.nenadvasic.com


+1 Profil

icon Re: PHP Security script18.11.2006. u 21:47 - pre 211 meseci
Citat:
Cuchulainn: Moje iskustvo kaze da je nacin prenosenja parametra tipa index.php?main=strana lose i nesigurno resenje.

To sa stranom je loše ako (na primer) napraviš ovako nešto:
Code:
$page = $_GET['main'];
include $page.".php";


Pogledaj sajt www.phpsec.org, a posebno obrati pažnju na http://phpsec.org/projects/guide/

p0z
 
Odgovor na temu

glavince
Ohrid/Macedonia

Član broj: 66412
Poruke: 246
62.162.91.*

Sajt: ohridnews.com


Profil

icon Re: PHP Security script21.11.2006. u 01:20 - pre 211 meseci
I ako aplikacija radi sa bazom obavezno provera za ulazne podatke preko forme (injection).
addslashes, mysql_real_escape_string ...
 
Odgovor na temu

[es] :: PHP :: PHP Security script

[ Pregleda: 3357 | Odgovora: 5 ] > FB > Twit

Postavi temu Odgovori

Navigacija
Lista poslednjih: 16, 32, 64, 128 poruka.