Pomoc - Szukaj - Użytkownicy - Kalendarz
Pełna wersja: Bezpieczeństwo aplikacji www
Forum PHP.pl > Inne > Hydepark
shpyo
10.10.2006, 11:05:44
Witam,
mam pytanie do osób bardziej zaawansowanych. Jako, że zaczynam pisać licencjat, którego przewodnim tematem jest bezpieczeństwo aplikacji sieciowych. Muszę napisać jedną taką aplikację.
Moje pytanie jest następujące: jak dobrze zabezpieczyć skrypt?
- Sql injection (http://forum.php.pl/SQL-Injection-Insertion-t23258.html),
- cross site scripting,
- ogólne - zmienne, includowanie plików etc. Temat: Bezpieczenstwo skryptow php

Tylko tyle mi przychodzi do głowy. Czy jest coś jeszcze, na co trzeba zwrócić uwagę?

za pomoc będę wdzięczny smile.gif
karibe
10.10.2006, 11:23:28
Ja bym poruszył jeszcze:

1. "Bezpieczne" ustawienia php.ini po stronie serwera
2. Konfiguracja serwera www pod kontem bezpieczeństwa aplikacji php
3. Sposoby walidacji formularzy ze szczegolnym naciskiem na bezpieczenstwo, jakies obecnie uznawane za najlepsze sposoby rozwiazywania tego problemu
TomASS
10.10.2006, 11:25:15
Ja bym np. dodał monitoring operacji wykonywanych przez użytkowników oraz monitoring logowań.
siemakuba
10.10.2006, 17:40:50
Ja dodałbym jeszcze:

Cross Site Request Forgeries (CSFR) - http://shiflett.org/articles/security-corner-dec2004

Phishing - http://en.wikipedia.org/wiki/Phishing - to chyba najgroźniejszy rodzaj ataku - wykorzystuje słabość "czynnika ludzkiego", który jest najsłabszym ogniwem w zabezpieczeniach.

pozdr.

edit: ta pozycja może się okazać pomocna: http://www.empik.com/showobject.jsp?object...ategory=1140600 - autorstwa
My4tic
14.10.2006, 20:42:05
Temat jest szeroki więc dużo zależy od Twoich ambicji. To co wymieniłeś w pierwszym poście to podstawy podstaw tongue.gif Można napisać duzo więcej... 'Bezpieczeństwo aplikacji webowych' nie zależy tylko od kodu skryptów. Co z atakami na serwery, poszczególne usługi, bazy danych, ogólnie DoS? ..lub na przykład luki w mod_rewrite, mod_auth? Co z atakami siłowymi, 'przewidywaniem' sesji, atakami na implementacje algorytmów? Poza tym temat o SQL Injection, który podałeś też nie zawiera kompletnego opisu. Niektóre opisane tam metody można ominąć sposobami o których nie wspomniano...
shpyo
15.10.2006, 12:01:40
To tylko licencjat. Nie będę pisał przecież wszystkiego, bo jeśli będę brał magisterkę to potem będę mógł sobie konktynuować to co zacząłem smile.gif.

Dzięki wszystki za odpowiedź. Mam już książkę o bezpieczeństwie w php - są przykłady omówione itp. Wykorzystam też info z wiki. Będzie dobrze smile.gif dam radę.
Kreton
15.10.2006, 12:47:07
Nie wiem czy to aż tak ważne, ale można poruszyć HTML Injection. Mimo wszystko i tak dużo osób nie próbuje ( nie umie) temu zapobiec smile.gif
To jest wersja lo-fi głównej zawartości. Aby zobaczyć pełną wersję z większą zawartością, obrazkami i formatowaniem proszę kliknij tutaj.
Invision Power Board © 2001-2025 Invision Power Services, Inc.