Jak zadbać o bezpieczeństwo?

0

Na pewno trzeba się upewnić po stronie serwera, że ktoś nie wstrzyknął w formularzu kodu skryptu, nie wykona niebezpiecznego zapytania SQL, nie wrzuci na serwer swojego pliku typu np. php. Walidacja i działanie z głową. Przed czym jeszcze trzeba zabezpieczyć skrypty? Przed atakami typu tysiąc zapytań na sekundę? Trzeba sprawdzać IP i blokować dostęp takim urządzeniom? A może blokada IP nie wystarczy, bo można szybko zmienić? Byłbym wdzięczny za jakiś rady, albo link gdzie wszystko jest zebrane do kupy.

0

Nie ma chyba rad unikalnych, bo rodzaj dziury ograniczony jest wyobraźnią programisty :)

#PHP session poisoning
#PHP session hijack
#(ogólnie wbudowany w php mechanizm sesji to zło)
#CSRF
#Można popełnić błąd pozwalając użytkownikowi podać wartość, która zostanie potraktowana funkcją unserialize (to zawsze jest niebezpieczne, nigdy nie wrzucaj w tę funkcję wartości pobranej od użytkownika)
#No i ważna jest konfiguracja php.ini (tam wszystkie wartości masz opisane i ich wpływ na bezpieczeństwo, wszystkie register_globals, magic_quotes itd)

Ataki DDOS raczej zostaną ogarnięte przez firmę hostingową, chyba, że Twój skrypt wykonuje się po 20 sekund, wtedy hostingowcy nawet nic nie zauważą, bo wystarczy domowy komputer, żeby przeprowadzić atak - wtedy zoptymalizuj kod ;)

Ogólnie tematy wydajnościowe zostaw sobie na moment, kiedy faktycznie jest coś nie tak, wcześniej nie ma sensu zaprzątać sobie tym głowy (chyba, że Twoja strona wykonuje się zauważalnie długo tak czy siak)

W każdym "temacie" jaki poruszasz jest parę popularnych błędów do popełnienia, ale to raczej szukaj ich per kategoria, czyli:

  • bawisz się w bazy danych - szukaj o dziurach związanych z bazami
  • bawisz się sesjami - szukaj o sesjach (np. wyżej masz)
  • ciasteczka? nawet na stronie funkcji setcookie masz common pitfalls (choć to niekoniecznie dziury)
  • wyświetlasz jakiekolwiek dane - XSS
  • pozwalasz wysłać pliki? lepiej porządnie je zwaliduj (i sprawdź kilka źródeł, bo sporo nauczy Cię NIEBEZPIECZNEGO filtrowania plików po MIME-TYPE)

Generalnie:

  1. Unikalnej skarbnicy wiedzy nie ma [ale pod securing php scripts znajdziesz ogóły]
  2. Konkretów szukaj pod kod, który piszesz
  3. Nie stosuj przedwczesnej optymalizacji

1 użytkowników online, w tym zalogowanych: 0, gości: 1