[PHP]אבטחת מערכות

[חיים]

אני בונה בזמן האחרון הרבה מערכת ב-PHP מערכת משתמשים מערכת ניהול וכ"ו עכישו הבעיה שזה מערכות ציבוריות ואני צריך הגנה עלייהם אז אם מישהוא יכול שיכתוב לי איזה סוגי פריצות יש ומה ההגנה מפנייהם אבקש בבקשה לשמור על הדברים האלו:
1.אל תכתבו משהוא שכבר אמרו
2.לא לכתוב תגובות לא קשורות לנושא
3.אם אתם לא יודעים את ההגנה מפני זה אל תכתבו את סוג הפירצה

[Gal Shafrir]

כתיבת תגי HTML -

PHP קוד:

$text = htmlspecialchars($text); 


[ShoQER]

ציטוט:

נכתב במקור על ידי DJ G.S

כתיבת תגי HTML -

PHP קוד:

$text = htmlspecialchars($text); 


הזרקות SQL:

PHP קוד:

$text = mysql_real_escape_string($text); 


שלא יהיו מילים עם רווחים...(זה יותר מתאים לבדיקה אם הטופס ריק..כי יש אנשים שסתם עושים רווח וזהו)

PHP קוד:

$text = trim($text); 


האם מה שהוכנס הוא מספר:

PHP קוד:

if(is_int($text)) {
echo 'yes';
} else {
echo 'no';
} 


קיימות עוד דרכים לאבטח בעזרת ביטויים רגולריים, בדיקות נוספות.
תלוי בשימוש שלך.
רוב האבטחה היא הבדיקות. אתה כל הזמן צריך לחשוב שהמשתמש הוא משהו שהוא שרוצה לפרוץ לך.
אם תחשוב ככה ותחשוב באיזה דרכים הוא יכול לנסות לפרוץ ככה תוכל גם לנסות לאבטח.

המלצה שלי...נגיד אתה האתר בתיקיה PUBLIC_HTML
תכניס את הקבצים החשובים ביותר...קבצים המכילים סיסמאות גישה למסד / לFTP וזה במקומות שבהם למשתמש אין גישה...בכלל.

[חיים]

ציטוט:

נכתב במקור על ידי Dr. Bleff

הזרקות SQL:

PHP קוד:

$text = mysql_real_escape_string($text); 


שלא יהיו מילים עם רווחים...(זה יותר מתאים לבדיקה אם הטופס ריק..כי יש אנשים שסתם עושים רווח וזהו)

PHP קוד:

$text = trim($text); 


האם מה שהוכנס הוא מספר:

PHP קוד:

if(is_int($text)) {
echo 'yes';
} else {
echo 'no';
} 


קיימות עוד דרכים לאבטח בעזרת ביטויים רגולריים, בדיקות נוספות.
תלוי בשימוש שלך.
רוב האבטחה היא הבדיקות. אתה כל הזמן צריך לחשוב שהמשתמש הוא משהו שהוא שרוצה לפרוץ לך.
אם תחשוב ככה ותחשוב באיזה דרכים הוא יכול לנסות לפרוץ ככה תוכל גם לנסות לאבטח.

המלצה שלי...נגיד אתה האתר בתיקיה PUBLIC_HTML
תכניס את הקבצים החשובים ביותר...קבצים המכילים סיסמאות גישה למסד / לFTP וזה במקומות שבהם למשתמש אין גישה...בכלל.

תודה רבה על המידע אבל יש לי כמה דברים להגיד:
1.שמתי לב שהפונקצייה mysqk_real_escape_string() היא אותו הדבר כמאט כמו htmlspecailchars() מה ההבדל בינייהם?זה משנה שהיא שמה 4 קווים לאומר htmlspec שהיא שמה רק 2?
2.תודה על כל המידע
3.תוכל לתת לי את הביטויים הרגולריים ובבדיקות נוספות?אני צריך לדעת את כל הדברים כמה שיותר יותר טוב
4.בקשר לFTP לא ממש הבנתי את הראיון שלך אתה מתכוון שאני ישמור את הסיסמה למסד בקובץ PHP שנמצא ב-FTP?נו זה מה שאני עושה כאילו עשיתי קובץ כזה קראתי לו config.phph ובכל דף אני עושה אינקלוד אלייוו זה בסדר?או שצריך כאילו להעביר אותו תיקייה כאילו לתיקייה מחוץ ל-public_html?

[ShoQER]

ציטוט:

נכתב במקור על ידי masterpl

תודה רבה על המידע אבל יש לי כמה דברים להגיד:
1.שמתי לב שהפונקצייה mysqk_real_escape_string() היא אותו הדבר כמאט כמו htmlspecailchars() מה ההבדל בינייהם?זה משנה שהיא שמה 4 קווים לאומר htmlspec שהיא שמה רק 2?
2.תודה על כל המידע
3.תוכל לתת לי את הביטויים הרגולריים ובבדיקות נוספות?אני צריך לדעת את כל הדברים כמה שיותר יותר טוב
4.בקשר לFTP לא ממש הבנתי את הראיון שלך אתה מתכוון שאני ישמור את הסיסמה למסד בקובץ PHP שנמצא ב-FTP?נו זה מה שאני עושה כאילו עשיתי קובץ כזה קראתי לו config.phph ובכל דף אני עושה אינקלוד אלייוו זה בסדר?או שצריך כאילו להעביר אותו תיקייה כאילו לתיקייה מחוץ ל-public_html?

mysqk_real_escape_string עושה משהו אחד
ו-htmlspecailchars עושה משהו אחר...

הראשונה מסננת תווים כמו מרחאות, גרש וכו'.
והשניה מסננת < ו->

בקשר לביטויים הרגולריים:
http://php.eitan.ac.il/main.php?id=00171

4) כן למעשה זה הרעיון אבל לא בהכרח הקובץ הזה....כל קובץ שאתה מחשיב אותו שאם משהו יצליח להגיע אליו כל האתר הלך קאפוט.

[Eli-Hai]

htmlspecialchars() מסנן תגי HTML, אבל הוא לא מוחק אותם. עדיף להשתמש ב-strip_tags כדי להשאיר קוד נקי.