PHP saugumas

Sveiki dar kartą, dabar norėčiau Jūsų pagalbos, kaip apsaugoti php svetainę, jos duomenys. Kokiu būdų reikia filtruoti formas, kaip apsisaugoti nuo mysql injekcijų. Kaip apsisaugoti. Dėkui.

Svetainė viena, tačiau pats serveris turi būti irgi apsaugotas nuo įvairių tipų atakų.

Nuo mysql injekcijų siūlau naudoti PDO http://php.net/manual/en/book.pdo.php

Jau kurį laiką naudoju šį filtrą:

function clean($str)
{
$cleaned = strip_tags($str);
$cleaned = htmlspecialchars(mysql_real_escape_string($cleaned));
$cleaned = str_replace("%20", "", $cleaned);
return $cleaned;
}

Apsauga nuo SQL "injekcijų":

http://php.net/manua...-statements.php

http://php.net/manua...-statements.php

 

Apsauga nuo XSS tipo atakų:

http://php.net/manua...tmlentities.php

http://php.net/manua...pecialchars.php

 

... arba jei nori praleisti saugų HTML kodą:

http://htmlpurifier.org/

Redagavo Gruodžio 2, 2012 dragelis

Viskas yra čia. http://www.phptherightway.com/

 

Duomenų bazei MySQLi ar PDO, XSS – htmlspecialchars turbūt tiktų.

 

O šiaip neįsivaizduok „apsaugų“ kaip kažkokio atskiro dalyko. Turi pats domėtis ne tik „kaip apsaugoti“, bet ir dėl ko taip yra, kad suprastum kaip neatsiejamą dalį :) Turbūt geriausias šaltinis tam – OWASP Top 10 https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project . Apsisaugok nuo Top 10 ir jau bus neblogai :)

 

Jau kurį laiką naudoju šį filtrą:

function clean($str)
{
$cleaned = strip_tags($str);
$cleaned = htmlspecialchars(mysql_real_escape_string($cleaned));
$cleaned = str_replace("%20", "", $cleaned);
return $cleaned;
}

 

Nereikėtų tokio filtro naudoti viskam. Jei visgi naudojamas mysql escapinimas o ne normalūs parametrų bindinimai, tai turėtų būti atliekama insertinimo/filtravimo metu, o štai htmlspecialchars – atvaizdavimo metu (strip_tags – kita tema, tą galima ir insertinant, jei to tikrai tikrai reikia).

O kaip dėl šito mysql_real_escape_string() ?

O kaip dėl šito mysql_real_escape_string() ?

ext/mysql (mysql_* funkcijos) apskritai yra ilgalaikiame deprecatinimo procese – kol kas vis dar yra PHP'e, bet kažkada dings. Beje, int/float reikia ne escapinti, o castinti į atitinkamą tipą – apostrofų juose gali ir nebūti, o injekciją padarysi ir be apostrofų...

 

Primygtinai siūlau naudoti PDO ar MySQLi. Prepared statements naudinga visais aspektais: ir greičiau, ir saugiau (pabrėžiu – tik normaliai bindinant parametrus, kitaip jokios magijos be tavo žinios neatlieka). Negi taip bijai patobulėti? Kartu ir OOP pasimokysi, ko, įtariu, prieiti nespėjai, jei kyla tokie klausimai, kaip „kaip apsisaugoti, gal real_escape“.

ext/mysql (mysql_* funkcijos) apskritai yra ilgalaikiame deprecatinimo procese – kol kas vis dar yra PHP'e, bet kažkada dings. Beje, int/float reikia ne escapinti, o castinti į atitinkamą tipą – apostrofų juose gali ir nebūti, o injekciją padarysi ir be apostrofų...

 

Primygtinai siūlau naudoti PDO ar MySQLi. Prepared statements naudinga visais aspektais: ir greičiau, ir saugiau (pabrėžiu – tik normaliai bindinant parametrus, kitaip jokios magijos be tavo žinios neatlieka). Negi taip bijai patobulėti? Kartu ir OOP pasimokysi, ko, įtariu, prieiti nespėjai, jei kyla tokie klausimai, kaip „kaip apsisaugoti, gal real_escape“.

Gerai mėginsime su PDO

http://wiki.hashphp.org/PDO_Tutorial_for_MySQL_Developers čia yra puikios pamokos