Unikaliu svetainių apsaugos. Reikia pagalbos.

Sveiki,

Ieškojau informacijos, kurioje būtu pilnai aprašoma, kokias apsaugas taikyti, kuriant unikalų tinklalapį(PHP, Html, MySQL). Bet pilnai sukurto straipsnio taip ir neradau. Visus rašė, kaip apsaugoti php-fusion ar kitus tvs'us, bet man reikėtu žinoti, kaip apsaugoti unikaliai kuriama tinklapį. Kiek skaičiau, kad unikalių darbu beveik neįmanoma nuhack'int. Bet vistiek, kažkur yra silpnų vietu, kur bet koks tinklalapis jų turi. Tą ir norėčiau sužinoti. Gal kas iš žmonių dirbančiu prie rimtų projektų galėtu pasidalinti informacija ir papasakoti, kur nederėtu daryti to ar ano. O gal kas tiesiog esate rade straipsnį ar ką apie tai. Būčiau dėkingas.

Naudok frameworką, nesvarbu kokį - CodeIgniter, Zend, Kohana, Symfony. Visi jie už tave padaro daug juodo darbo, įskaitant ir įvedimos informacijos filtravimą.

Nu, žinau du.

Vienas - bandyk vengti, failu upload, nes reik labai didele apsauga gaminti, jog neuploadintu "negero" failo.

Antras - SQL injection. Inputuose kuriuos tikrini per MySQL, galima naudoti SQL injection. Paieškok apsaugos nuo to.

Kuriu naršyklinį žaidimą ir nenaudoju jokių papildomų programų, ar jau sukurtų pluginų. Vienintelis daiktas su kurio dirbu, tai notepad++, o daugiau visus kodus ir sqriptus koduoju pats. Mane domina tokie dalykai, kaip pvz.: kai vartotojas įrašo tekstą, kad tame tekste esančius, kai kuriuos simbolius keistu į kodus pvz $ į "& # 3 6 ;" (tarpai, nes kitaip pakeičia) ir t.t. Daugiau, kad reikia apsaugoti tokius kintamuosius kaip: news.php?page=5. Todėl tikrai nenorėčiau, kad projektą prie kurio labai daug dirbau, imtu ir kažkas nulaužtu.

Didziausia demesi skirk inputam, poto gerai filtruok visus duomenis perduodamus GET, POST metodais, kintamiesiems nepriskirk failu. Sesijas, cookius taip pat padaryk tokius, kad is isores neitu jais manipuliuot. Slepk ivairius warningus bei error zinutes.

Tarkim žinučių failas:

<?php

$page = $_GET['page'];

if ($messages_page == ""){

echo "1 psulapis";

} elseif ($page == "2"){

echo "2 psulapis";

} else { echo "tokio puslapio nėra"; }

?>

Įvedus index.php?page=2' (su akbute) išmes tokio psulapio nėra. Ar saugus toks būdas?

PHP saugumo gidas (tiesa, sukurtas jau senokai): http://ilia.ws/files/quebec_security.pdf

Tarkim žinučių failas:

 

Įvedus index.php?page=2' (su akbute) išmes tokio psulapio nėra. Ar saugus toks būdas?

Saugus tik tvarkingiau butu daryt su switch.

XSS, SQL injection, CSRF (pasigūglink apie šitas atakas). Nedaryk tokių dalykų, kaip include($_GET['input'].'.php'). Dar reiktų elgtis atsargiai, kai leidi vartotojams uploadint failus/paveikslėlius. Jeigu visą šitą įgyvendinsi, manau galėsi jaustis pakankamai saugiai.

Tarkim žinučių failas:

 

Įvedus index.php?page=2' (su akbute) išmes tokio psulapio nėra. Ar saugus toks būdas?

Aišku saugus, juk nieko neinsertini į duomenų bazę.

Failų ir paveikslėlių net nežadėjau leist įkelt, o dėl žinučiu failo, tai bus insert į db, pvz.: index.php?send_to=5 (user_id), bet daryčiau, kad jei kintamojo nėra db, tai parašo tokio vartotojo nėra ar pnš. Pvz.: ištraukia iš users lenteles eilutes su id=5 ir suskaiciuoja, jei result=0 tai "tokio vartotojo nėra", jei 1 imeta į messages table naują eilutę su žinute.

Štai ką radau beieškodamas:

http://www.lescinskas.lt/lt/blog/tag/xss

elementaru vatsonai, kiek vienas kintamasis gal buti suklastotas get post cookie user-aget, nepagailek addslashes, jei dirbsi su failais nepamirsk . Ir .. .system funkcija ypatingai pavojinga, pavoju pakanka, vo svarbiausias daiktas uzdrausk error ir warningu rodyma i puslapi

Vieną neblogą pamokėle, irgi senoka, bet manau vistiek gera: http://www.lescinskas.lt/tinklalapiu-saugumas

Situos parametrus dar reiktu laikyt isjungtas php confige:

http://www.cyberciti.biz/faq/linux-unix-apache-lighttpd-phpini-disable-functions/

Jei busi patalpintas hostinge bandyk ikelt savo php.ini faila kuris disablintu situos parametrus arba per .htaccess

O kaip padaryti, kad draustu error'ų ir warning'ų rodyma į puslapį?

O kaip padaryti, kad draustu error'ų ir warning'ų rodyma į puslapį?

pasidomėk apie error handling`ą :)

O jeigu kiekviena įvedama tekstą keisti su funkcija:

function antihack($text) {

if (QUOTES_GPC) $text = stripslashes($text);

$search = array("\"", "'", "\\", '\"', "\'", "<", ">", " ");

$replace = array(""", "'", "\", """, "'", "<", ">", " ");

$text = str_replace($search, $replace, $text);

return $text;

}

Tarkim kur įvedamas tekstas keisti:

$nickas = antihack($_POST['nickas']);

Manau saugo vos nuo ne visų atakų.

jei ta kintamaji paduosi i mysql bus ragas

Nu tada darai funkcijas, kad jei yra neleistinų simboliu nieko nedaro. O kaip daryt, kad galėtu naudotis bbcodais, ar pavadinima užsirašyt '''name''' ? Manau keisti su ta funkcija, juk ji naudojama ant php-fusion, kai rašai komentarą, ar šaukykloje nori pasisakyt...

pateik visa skripta tada nebus tusciu kalbu

Tai, kaip supratau:

1. Neleisti idėti failų.

2. Visus inputus, kuriuose yra < > ' " ir t.t. keisti kodais, arba neleisti nieko atlikti. (nei įvykdyti injekcijų).

3. Uždrausit errorų rodymą.

4. Jei įvestas inputas nerastas tą ir išvesti, o ne ieškoti pagal jį. Pvz.: profile?id=4' .

Jei ko nepasakiau - sakykit, pridursiu į šį postą. :)