Wiem jak się bronić przed sql injection ale nie wiem jak się bronić przed wstrzykiwaniem kody js i innymi atakami tego typu. Wiem, że wszystkie dane pochodzące od użytkownika należy filtrować ale czy samo htmlspecialchars jest 100% skuteczne.
mysql_escape_string załatwia problem sql_injection a i tak ludzie robią psikusy autorom stron. Wiem także, że rodzajów ataków jest dużo ale jak się przed tym skutecznie bronić? Jak filtrować dane?
Mam aplikację w której trzeba się logować. Jak zrobić aby przeglądarka w ogóle nie zapisywała cache'a treści - inny użytkownik tego samego komputera nie powinien mieć dostępu do treści (nawet minimalnej trzymanej w cache) - nie da się wymusić na użytkownikach czyszczenia cache za każdym razem po wylogowaniu.
Pełna wersja: [PHP]Zabezpieczenie aplikacji
~code46, masz ponad 80 postów, a nie wiesz, że jest coś takiego jak wyszukiwarka na forum? Temat wałkowany 1000 razy!
Pozdrawiam!
Pozdrawiam!
Cytat(code46 @ 7.02.2009, 17:24:27 ) 
Wiem jak się bronić przed sql injection ale nie wiem jak się bronić przed wstrzykiwaniem kody js i innymi atakami tego typu. Wiem, że wszystkie dane pochodzące od użytkownika należy filtrować ale czy samo htmlspecialchars jest 100% skuteczne.
mysql_escape_string załatwia problem sql_injection a i tak ludzie robią psikusy autorom stron. Wiem także, że rodzajów ataków jest dużo ale jak się przed tym skutecznie bronić? Jak filtrować dane?
Mam aplikację w której trzeba się logować. Jak zrobić aby przeglądarka w ogóle nie zapisywała cache'a treści - inny użytkownik tego samego komputera nie powinien mieć dostępu do treści (nawet minimalnej trzymanej w cache) - nie da się wymusić na użytkownikach czyszczenia cache za każdym razem po wylogowaniu.
mysql_escape_string załatwia problem sql_injection a i tak ludzie robią psikusy autorom stron. Wiem także, że rodzajów ataków jest dużo ale jak się przed tym skutecznie bronić? Jak filtrować dane?
Mam aplikację w której trzeba się logować. Jak zrobić aby przeglądarka w ogóle nie zapisywała cache'a treści - inny użytkownik tego samego komputera nie powinien mieć dostępu do treści (nawet minimalnej trzymanej w cache) - nie da się wymusić na użytkownikach czyszczenia cache za każdym razem po wylogowaniu.
1. Filtrowanie danych wprowadzanych przez użytkownika (np. jeśli oczekujemy liczby to sprawdzamy czy to liczba)
2. Sql injection - filtrowanie danych np mysql_escape_string
3. XSS itp -> sprawdzanie czy użytkownik nie podaje do zapisania w bazie (wykorzystanie danych zachowanych) lub poprzez url (wykorzystanie danych odbitych) kodu JS, który może zostać wykonany. Jest to dosyć trudne ponieważ można przekazać zakodowany skrypt js.
ftp://ftp.helion.pl/online/ajabez/ajabez-2.pdf
To jest wersja lo-fi głównej zawartości. Aby zobaczyć pełną wersję z większą zawartością, obrazkami i formatowaniem proszę kliknij tutaj.