Как защититься от взлома (инструкция)

1.65K
.
AlkatraZ
╭∩╮ (`-`) ╭∩╮
Я уже не раз писал и еще повторю.
Когда пишешь сам, нужно внимательно относиться ко всем переменным, которые так, или иначе поступают с клиентской стороны и в обязательном порядке приводить их к нужному типу.
Числа - обрабатываем intval() или (int)$var
Строки, перед поступлением в базу должны обрабатываться mysql_real_escape_string
Это защитит Вас от SQL инъекций.
---
Что касается XSS, тут другая проблема. Если текст выводится в таком виде, как хранится, его обязательно нужно отфильтровать от потенциально опасных скриптов.
В нашем случае (JohnCMS), все тексты перед выводом в браузер обрабатываются htmlentities(), что обезвреживает любой внедренный скрипт и выводит его как обычный текст.
Правда не всегда такое удобно, иногда к примеру нужно выводить HTML элементы форматирования, или другое. К примеру, если для ввода текста у Вас стоит какой-либо визуальный редактор, вы красиво отформатировали текст, а потом перед выводом обработали его htmlentities(), то все форматирование естессно накроется. В этом случае нужны другие методы фильтрации от опасных элементов. В инете можно найти немало примеров кода.
---
Ну и конечно сам алгоритм...
К примеру, Вы написали все правильно, защитились и от SQL инъекции и от XSS, все ли в порядке?
Далеко нет. Неправильный алгоритм авторизации, разграничения доступа, или что другое, может свести на нет всю Вашу предыдущую работу.
---
Как итог, еще раз хочу напомнить, что НЕ СТАВЬТЕ непроверенных скриптов от неопытных кодеров. Кодер может от души старался. хотел как хорошо, но из-за недостатка опыта, он мог допустить алгоритмические ошибки.
.
аkа ПьяНый Ангел
если я не ошибаюсь то в библиотеке была обширная статья про безопасность, довольно не плохая
.
А у мну вчера антивирь хостера нашел два зараженных файла.Это результат заливки файлов архивами.Заливая большие архивы найденные где попало,тоже будьте бдительны.Однажды качнул архив шрифтов,точно не помню,около 100шт.4 шелла результат.Я не спец в пыхе,людям показал те 10ок шрифтов,которые были явным пхп кодом.
.
TAYSON
И самое главное во всем этом,по моему,Три основных правила!
1.Не барыж!!
2.Не будь кидалой!!
3.Не жаждь чужой славы!!
И будет вам счастье!
.
aka Arhange[L]
TAYSON (12.01.2010/21:49)
Три основных правила!1.Не барыж!!2.Не будь кидалой!!3.Не жаждь чужой славы!!И будет вам счастье!
эм... и как это к защите отнести?
1 это типа "не барыж" чтоб твой код не увидели и не сломали?
2 хоть как не в тему.
3 тож фигня какае-то гг
.
TAYSON
Archangel, Барыгу,кидалу и т.д100% сломают!таких и не жалко!
Вот так непосредственно и напрямую касается данной темы.
p.s.Барыга это типо тот который чужим барижит и выдает за свое.
.
aka Arhange[L]
TAYSON (12.01.2010/21:54)
Archangel, Барыгу,кидалу и т.д100% сломают!таких и не жалко!Вот так непосредственно и напрямую касается данной темы.p.s.Барыга это типо тот который чужим барижит и выдает за свое.
Чел который барыжит не своим, уже барыга. И не важно выдает он за свое или тупо перепродает.
А то что сломают кидалу или барыгу, это врядле. Еще ни одного хакера не видел, чтоб он именно барыг и кидал ломал.
И как насчет 3 пункта, как он связан с темой?
.
Archangel, Удалить копирайт автора и вписать себя.Ты увидя свои работы от имени другого автора не захочеш наказать падлеца?
Вот че я имел в виду под 3м пунктом.
.
╭∩╮ (`-`) ╭∩╮
TAYSON (12.01.2010/21:54)
Archangel, Барыгу,кидалу и т.д100% сломают!
Как же сломают, если в коде нет ошибок?
---
К примеру, я написал хороший, без дыр скрипт.
Какой-то плогеатро переписал на себя копирайты и поставил у себя.
как же я сломаю, если дыр нет?
---
К примеру, JohnCMS
Известных дыр нет, если не дай бог найдутся, я их немедленно закрою.

И вот прикинь, если даже какой-то мудаг барыжит, как я его сломаю, если дыр в двиге 9известных) нет?
.
╭∩╮ (`-`) ╭∩╮
Если в коде нет ошибок, и хост надежный, "сломать" невозможно.
Можно просто гадить, засирая ресурс флудом и подвергая ДДОС атакам!
Всего: 67