Witam
Mam pytanie. Jestem w trakcie pisania pewnego skryptu zarządzania stroną i chciałbym was poprosić o jakieś informacje nt. najczęstszych metod ataków na takie strony.
Strona będzie mieć system logowania oparty o mysql+cookies (oczywiście mysql)
Będzie tez posiadać skrypty do wysyłania różnych artów,obrazków, linków do filmików itp (to nie będzie żadna strona z filmikami itp, poprostu strona z gry)
Czego mam się przestrzegać, przed czym zabezpieczyć skrypty? Takie coś jak addslashes i stripslashes to znam. Coś bardziej konkretnego? Nie chcę mieć wpadki zaraz po starcie...
Z góry dziękuje.
Pełna wersja: Najczęstsze metody ataku na strony
Przestrzegaj sie najpierw najprostszego - SQL Injection.
i przypadkiem nie rób takiej bzdury, że do cookie będziesz zapisywał kto jest zalogowany
Chyba trochę przesadzasz:
"Nasi użytkownicy napisali 368 436 postów"
Sprawdziłeś czy ten temat nie był poruszany?
Zacznij od dwóch przyklejonych tematów w tym dziale, w którym umieściłeś posta:
Przypięty: Bezpieczeństwo skryptów PHP - Jak zabezpieczyć się przed włamaniem
Przypięty: SQL Injection/Insertion - Jak zapobiec włamaniu na stronę.
Jakieś 300 postów
"Nasi użytkownicy napisali 368 436 postów"
Sprawdziłeś czy ten temat nie był poruszany?
Zacznij od dwóch przyklejonych tematów w tym dziale, w którym umieściłeś posta:
Przypięty: Bezpieczeństwo skryptów PHP - Jak zabezpieczyć się przed włamaniem
Przypięty: SQL Injection/Insertion - Jak zapobiec włamaniu na stronę.
Jakieś 300 postów
Cytat(MajareQ @ 12.11.2007, 22:45:20 ) 
Przestrzegaj sie najpierw najprostszego - SQL Injection.
To jest już mit ... nigdzie to praktycznie nie działa, a do tego jest coś takiego jak PDO, które ma bindowanie zmiennych.
Cytat(sf @ 12.11.2007, 23:18:29 )
...a do tego jest coś takiego jak PDO, które ma bindowanie zmiennych.
A co ma bindowanie do SQL_Injection ?
Cytat(domis86 @ 13.11.2007, 10:46:03 )
A co ma bindowanie do SQL_Injection ?
Wszystko?
W manualu pisze wyraźnie co ma.Cytat
The parameters to prepared statements don't need to be quoted; the driver handles it for you. If your application exclusively uses prepared statements, you can be sure that no SQL injection will occur.
Z tego co przeczytałem w tych przyklejonych tematach to wystarczy dobrze sprawdzać i filtrować zmienne pochodzące z zewnątrz.
Więc raczej mogę w nocy spać spokojnie jeśli zastosuje się do tamtych wskazówek, nie obudzi mnie telefon z krzykiem w spół admina "HACKNELI NAS!" itp
Dziękuje za pomoc
Więc raczej mogę w nocy spać spokojnie jeśli zastosuje się do tamtych wskazówek, nie obudzi mnie telefon z krzykiem w spół admina "HACKNELI NAS!" itp
Dziękuje za pomoc
Cytat(Foxx @ 12.11.2007, 22:50:33 )
Chyba trochę przesadzasz:
"Nasi użytkownicy napisali 368 436 postów"
Sprawdziłeś czy ten temat nie był poruszany?
Zacznij od dwóch przyklejonych tematów w tym dziale, w którym umieściłeś posta:
Przypięty: Bezpieczeństwo skryptów PHP - Jak zabezpieczyć się przed włamaniem
Przypięty: SQL Injection/Insertion - Jak zapobiec włamaniu na stronę.
Jakieś 300 postów
"Nasi użytkownicy napisali 368 436 postów"
Sprawdziłeś czy ten temat nie był poruszany?
Zacznij od dwóch przyklejonych tematów w tym dziale, w którym umieściłeś posta:
Przypięty: Bezpieczeństwo skryptów PHP - Jak zabezpieczyć się przed włamaniem
Przypięty: SQL Injection/Insertion - Jak zapobiec włamaniu na stronę.
Jakieś 300 postów
po za tym jest jeszcze taki ładny temat o Botach...
Temat: Boty Jak przeciwdzialac
To jest wersja lo-fi głównej zawartości. Aby zobaczyć pełną wersję z większą zawartością, obrazkami i formatowaniem proszę kliknij tutaj.