הוסטס - פורום אחסון האתרים הגדול בישראל

הוסטס - פורום אחסון האתרים הגדול בישראל (https://hosts.co.il/forums/index.php)
-   פורום תיכנות (https://hosts.co.il/forums/forumdisplay.php?f=14)
-   -   [PHP]אבטחת מערכות (https://hosts.co.il/forums/showthread.php?t=42478)

חיים 30-03-07 18:57
[PHP]אבטחת מערכות
 
אני בונה בזמן האחרון הרבה מערכת ב-PHP מערכת משתמשים מערכת ניהול וכ"ו עכישו הבעיה שזה מערכות ציבוריות ואני צריך הגנה עלייהם אז אם מישהוא יכול שיכתוב לי איזה סוגי פריצות יש ומה ההגנה מפנייהם אבקש בבקשה לשמור על הדברים האלו:
1.אל תכתבו משהוא שכבר אמרו
2.לא לכתוב תגובות לא קשורות לנושא
3.אם אתם לא יודעים את ההגנה מפני זה אל תכתבו את סוג הפירצה

Gal Shafrir 30-03-07 19:25
כתיבת תגי HTML -
PHP קוד:
$text htmlspecialchars($text); 

ShoQER 30-03-07 23:18
ציטוט:
נכתב במקור על ידי DJ G.S (פרסם 447850)
כתיבת תגי HTML -
PHP קוד:
$text htmlspecialchars($text); 
הזרקות SQL:
PHP קוד:
$text mysql_real_escape_string($text); 
שלא יהיו מילים עם רווחים...(זה יותר מתאים לבדיקה אם הטופס ריק..כי יש אנשים שסתם עושים רווח וזהו)
PHP קוד:
$text trim($text); 
האם מה שהוכנס הוא מספר:
PHP קוד:
if(is_int($text)) {
echo 'yes';
} else {
echo 'no';
קיימות עוד דרכים לאבטח בעזרת ביטויים רגולריים, בדיקות נוספות.
תלוי בשימוש שלך.
רוב האבטחה היא הבדיקות. אתה כל הזמן צריך לחשוב שהמשתמש הוא משהו שהוא שרוצה לפרוץ לך.
אם תחשוב ככה ותחשוב באיזה דרכים הוא יכול לנסות לפרוץ ככה תוכל גם לנסות לאבטח.

המלצה שלי...נגיד אתה האתר בתיקיה PUBLIC_HTML
תכניס את הקבצים החשובים ביותר...קבצים המכילים סיסמאות גישה למסד / לFTP וזה במקומות שבהם למשתמש אין גישה...בכלל.

חיים 31-03-07 11:02
ציטוט:
נכתב במקור על ידי Dr. Bleff (פרסם 448049)
הזרקות SQL:
PHP קוד:
$text mysql_real_escape_string($text); 
שלא יהיו מילים עם רווחים...(זה יותר מתאים לבדיקה אם הטופס ריק..כי יש אנשים שסתם עושים רווח וזהו)
PHP קוד:
$text trim($text); 
האם מה שהוכנס הוא מספר:
PHP קוד:
if(is_int($text)) {
echo 'yes';
} else {
echo 'no';

קיימות עוד דרכים לאבטח בעזרת ביטויים רגולריים, בדיקות נוספות.
תלוי בשימוש שלך.
רוב האבטחה היא הבדיקות. אתה כל הזמן צריך לחשוב שהמשתמש הוא משהו שהוא שרוצה לפרוץ לך.
אם תחשוב ככה ותחשוב באיזה דרכים הוא יכול לנסות לפרוץ ככה תוכל גם לנסות לאבטח.

המלצה שלי...נגיד אתה האתר בתיקיה PUBLIC_HTML
תכניס את הקבצים החשובים ביותר...קבצים המכילים סיסמאות גישה למסד / לFTP וזה במקומות שבהם למשתמש אין גישה...בכלל.
תודה רבה על המידע אבל יש לי כמה דברים להגיד:
1.שמתי לב שהפונקצייה mysqk_real_escape_string() היא אותו הדבר כמאט כמו htmlspecailchars() מה ההבדל בינייהם?זה משנה שהיא שמה 4 קווים לאומר htmlspec שהיא שמה רק 2?
2.תודה על כל המידע
3.תוכל לתת לי את הביטויים הרגולריים ובבדיקות נוספות?אני צריך לדעת את כל הדברים כמה שיותר יותר טוב
4.בקשר לFTP לא ממש הבנתי את הראיון שלך אתה מתכוון שאני ישמור את הסיסמה למסד בקובץ PHP שנמצא ב-FTP?נו זה מה שאני עושה כאילו עשיתי קובץ כזה קראתי לו config.phph ובכל דף אני עושה אינקלוד אלייוו זה בסדר?או שצריך כאילו להעביר אותו תיקייה כאילו לתיקייה מחוץ ל-public_html?

ShoQER 31-03-07 12:13
ציטוט:
נכתב במקור על ידי masterpl (פרסם 448205)
תודה רבה על המידע אבל יש לי כמה דברים להגיד:
1.שמתי לב שהפונקצייה mysqk_real_escape_string() היא אותו הדבר כמאט כמו htmlspecailchars() מה ההבדל בינייהם?זה משנה שהיא שמה 4 קווים לאומר htmlspec שהיא שמה רק 2?
2.תודה על כל המידע
3.תוכל לתת לי את הביטויים הרגולריים ובבדיקות נוספות?אני צריך לדעת את כל הדברים כמה שיותר יותר טוב
4.בקשר לFTP לא ממש הבנתי את הראיון שלך אתה מתכוון שאני ישמור את הסיסמה למסד בקובץ PHP שנמצא ב-FTP?נו זה מה שאני עושה כאילו עשיתי קובץ כזה קראתי לו config.phph ובכל דף אני עושה אינקלוד אלייוו זה בסדר?או שצריך כאילו להעביר אותו תיקייה כאילו לתיקייה מחוץ ל-public_html?
mysqk_real_escape_string עושה משהו אחד
ו-htmlspecailchars עושה משהו אחר...

הראשונה מסננת תווים כמו מרחאות, גרש וכו'.
והשניה מסננת < ו->

בקשר לביטויים הרגולריים:
http://php.eitan.ac.il/main.php?id=00171

4) כן למעשה זה הרעיון אבל לא בהכרח הקובץ הזה....כל קובץ שאתה מחשיב אותו שאם משהו יצליח להגיע אליו כל האתר הלך קאפוט.

Eli-Hai 31-03-07 22:47
htmlspecialchars() מסנן תגי HTML, אבל הוא לא מוחק אותם. עדיף להשתמש ב-strip_tags כדי להשאיר קוד נקי.


כל הזמנים הם GMT +2. הזמן כעת הוא 11:34.

מופעל באמצעות VBulletin גרסה 3.8.6
כל הזכויות שמורות ©
כל הזכויות שמורות לסולל יבוא ורשתות (1997) בע"מ