Witam,
od niedawna uczę się pisać strony www.microsoft.comnież przygodę z PHP i MySQL-em. Niestety w książkach, które udało mi się dostać nie ma zbyt wiele informacji o zabezpieczeniu takiej strony przed niechcianymi atakami złych ludzi... Fakt, że moja strona nie będzie tak popularna jak www.microsoft.com i raczej nie muszę się obawiać aż tak zmasowanego ataku ale jednak chciałbym mieć gwarancję że nikt nie zrobi mi czegoś chamskiego :P. Liczę, że moja strona wkrótce się rozwinie i stanie się prawie tak samo popularna jak facebook :D
W związku z powyższym uprzejmie proszę o informację gdzie mogę znaleźć informacje o różnych zagrożeniach i jak się przed tym zabezpieczyć. Najbardziej zależy mi na jakiejś dobrej książce. Interesują mnie szczególnie włamania na serwer, z którego ktoś mało fajny mógłby zmienić mi treść strony lub co gorsza ściągnąć sobie różne programy, które zamierzam również umieścić na stronie a których nie chcę udostępniać w postaci plików.
Pozdrawiam i z góry dziękuję za pomoc :)
Proponuję zabezpieczyć się przed SQL Injection:
http://www.poradnik-webmastera.com/artykuly/bazy_danych/sql_injection.php
http://www.tizag.com/mysqlTutorial/mysql-php-sql-injection.php
hey,
dzięki za odpowiedź.
A jest może jakaś książka o takich atakach? tzn. jak są one przeprowadzane, jakie są możliwości takich osób oraz jak się przed tym zabezpieczyć?
Pozdrawiam i dziękuję za linki :)
Oczywiście że są książki. Wystarczy pogooglować. Zabezpieczenia przed XSSem i SQL Injection to jest cały temat na rozpisywanie się. Z czasem napiszesz biblioteki które zrobią to za ciebie.
Możesz też robić dynamiczne strony w Delphi. Na taką stronę trudno się włamać.
Mariusz Jędrzejowski napisał(a)
Możesz też robić dynamiczne strony w Delphi. Na taką stronę trudno się włamać.
Bardzo trudno włamać się na stronę, która nie jest nigdzie hostowana.
Mariusz Jędrzejowski napisał(a)
Możesz też robić dynamiczne strony w Delphi. Na taką stronę trudno się włamać.
Gdyż, ponieważ? Dlatego, że każdy potencjalny napastnik zejdzie za śmiechu jak zobaczy IntraWeb?
to prawie tak samo jakbym chciał dodatkowo popsuć BSoD w wingrozie :P
deus napisał(a)
Mariusz Jędrzejowski napisał(a)
Możesz też robić dynamiczne strony w Delphi. Na taką stronę trudno się włamać.
Gdyż, ponieważ? Dlatego, że każdy potencjalny napastnik zejdzie za śmiechu jak zobaczy IntraWeb?
99% włamywaczy nawet nie będzie wiedzieć w czym strona jest zrobiona. Hosting dotyczy języków skryptowych. Język taki przypomina jezyk BASIC, który był kiedyś stosowany. To język interpretowany a nie kompilowany, dlatego strony z php działają tak wolno.
99% włamywaczy nawet nie będzie wiedzieć w czym strona jest zrobiona
SQL Injection i XSS są niezależne od technologii serwera, więc to nie ma znaczenia :)
pan kuba napisał(a)
SQL Injection i XSS są niezależne od technologii serwera, więc to nie ma znaczenia :)
Ktoś, kto klika "strony" w Delphi nawet nie zrozumie o co Ci chodzi...
Mariusz Jędrzejowski napisał(a)
99% włamywaczy nawet nie będzie wiedzieć w czym strona jest zrobiona.
Zajrzy w źródło i się dowie, wygląd aplikacji w IntraWeb jest charakterystyczny. Poza tym czy faktycznie musi to wiedzieć?
Mariusz Jędrzejowski napisał(a)
Hosting dotyczy języków skryptowych. Język taki przypomina jezyk BASIC, który był kiedyś stosowany. To język interpretowany a nie kompilowany, dlatego strony z php działają tak wolno.
Hosting to... hosting. Dotyczy wszystkiego, także aplikacji w ASP.NET czy tym Twoim Delphi. Nie pisz bzdur o BASICu. Bodaj Facebook stworzył własny konwerter PHP do C++, tylko po to żeby 50% zysk wydajności w obsłudze logiki uzyskać, operacje na bazie danych mają zdecydowanie największy koszt.
Weź wróć do rzeczywistości...
Google App Engine obsługuje asynchroniczne zapytania do bazy, można np odpalic 10 zapytań równocześnie. Każdy request HTTP tworzy nowy proces, a GAE zabrania tworzyć nowych wątków i procesów, więc w tym przypadku czasem logika może trwać dłużej niż baza, bo nie może być zrównoleglona.
donki7 napisał(a)
Google App Engine obsługuje asynchroniczne zapytania do bazy, można np odpalic 10 zapytań równocześnie. Każdy request HTTP tworzy nowy proces, a GAE zabrania tworzyć nowych wątków i procesów, więc w tym przypadku czasem logika może trwać dłużej niż baza, bo nie może być zrównoleglona.
Firma Google ma niezwykle szybkie komputery, które to umożliwiają.
Poza tym, jeśli po danej komendzie użytkownika strona akurat nie dawała zapytania do bazy danych, to oczekiwanie na wyświetlenie jej w php trwa kilka a nawet kilkanaście razy dłużej niż w Delphi (chyba że używamy ajax, to wtedy jest nieco lepiej). Dlatego właśnie, jeśli wymagana jest szybka odpowiedź GUI, stosuje się dodatkowo aplety flash.
I to jest właśnie dowód na ewolucję regresywną.
Mariusz Jędrzejowski napisał(a)
donki7 napisał(a)
Google App Engine obsługuje asynchroniczne zapytania do bazy, można np odpalic 10 zapytań równocześnie.
Firma Google ma niezwykle szybkie komputery, które to umożliwiają.
Albo po prostu obsługę wątków w komunikacji SQL<>Skrypt.