konto usunięte
Tomasz Zadora programuję
Temat: testowanie aplikacji
Może napisz trochę konkretniej co chcesz przetestować. Są np. profilery do testowania wydajności, ale można też testować inne rzeczy.
Łukasz
C.
Senior Technical
Architect
Temat: testowanie aplikacji
ja stosuje kombinacje: phpunit + selenium + hudsonkonto usunięte
Temat: testowanie aplikacji
Tomasz Zadora:
Może napisz trochę konkretniej co chcesz przetestować. Są np. profilery do testowania wydajności, ale można też testować inne rzeczy.
Chciałbym testować sprawy związane z bezpieczeństwem, np. żeby się uchronić przed sql injection .
Wojciech
Sznapka
CTO @ STS Zakłady
Bukmacherskie
Temat: testowanie aplikacji
mam wrażenie że nie wiesz o czym piszesz...
Łukasz
C.
Senior Technical
Architect
Temat: testowanie aplikacji
Dariusz Grochocki:
Chciałbym testować sprawy związane z bezpieczeństwem, np. żeby się uchronić przed sql injection .
testy jednostkowe
konto usunięte
Temat: testowanie aplikacji
Łukasz Cepowski:
Dariusz Grochocki:
Chciałbym testować sprawy związane z bezpieczeństwem, np. żeby się uchronić przed sql injection .
testy jednostkowe
czyli próbować samemu wykonać taki atak? :)
http://www.securitum.pl/baza-wiedzy/publikacje/sql-inj...
Łukasz
C.
Senior Technical
Architect
Temat: testowanie aplikacji
tak i nie,ogolnie jezeli kod twojej aplikacji jest dobrze napisany powinnien nadawac sie do testowania jednostkowego, czyli jak masz tam jakas warstwe lub model ktory np: generuje jakies zapytanie sql, to powiniennes napisac klase ktora sprawdza ten fragment kodu czyli poprostu podaje rozne krytyczne dane na wejscie i oczekuje ze to co zostanie zapisane w bazie bedzie poprawne i bezpieczne, im wiecej przypadkow atakow sql injection pokryjesz testem tym mmniejsze prawdpodobienstwo ze bedzie tam blad.
swoja droga uzywanie prepared statements powinno zmniejszyc ryzyko dziury podatnej na sql injection
konto usunięte
Temat: testowanie aplikacji
jak chcesz się zabezpieczyć przed SQL Injection stosuj Prepared statmenthttp://php.net/manual/en/pdo.prepared-statements.php
lub
http://php.net/manual/en/mysqli.prepare.php
Tomasz Zadora programuję
Temat: testowanie aplikacji
Ogólnie "prepare statement" to dobre rozwiązanie, czasem jednak nie.W momencie kiedy generujemy SQL bardzo dynamicznie, może okazać się, że łatwiej i wygodniej jest używać "klasycznych" funkcji (np. mysql) które egzekwują SQL, a wartości filtrować przez odpowiednie funkcje, np. w przypadku mysql:
http://pl.php.net/manual/en/mysqli.real-escape-string.php
http://pl.php.net/manual/en/function.mysql-real-escape...
konto usunięte
Temat: testowanie aplikacji
Tomasz Zadora:Oraz dla PDO:
Ogólnie "prepare statement" to dobre rozwiązanie, czasem jednak nie.
W momencie kiedy generujemy SQL bardzo dynamicznie, może okazać się, że łatwiej i wygodniej jest używać "klasycznych" funkcji (np. mysql) które egzekwują SQL, a wartości filtrować przez odpowiednie funkcje, np. w przypadku mysql:
http://pl.php.net/manual/en/mysqli.real-escape-string.php
http://pl.php.net/manual/en/function.mysql-real-escape...
http://php.net/manual/en/pdo.query.php
http://www.php.net/manual/en/pdo.quote.php
konto usunięte
Temat: testowanie aplikacji
dziękuję za podpowiedzi. teraz spróbuję te wszystkie strony przeczytać ;)Michał Sajdak Securitum.
Temat: testowanie aplikacji
Dariusz Grochocki:
Łukasz Cepowski:
Dariusz Grochocki:
Chciałbym testować sprawy związane z bezpieczeństwem, np. żeby się uchronić przed sql injection .
testy jednostkowe
czyli próbować samemu wykonać taki atak? :)
http://www.securitum.pl/baza-wiedzy/publikacje/sql-inj...
Jeśli chodzi o w miarę tani (i dobry) soft do testów bezpieczeństwa to polecam burpa pro:
http://www.securitum.pl/baza-wiedzy/publikacje/burp-su...
Warto też pamiętać że na sql injection nie kończą się rzeczy związane z bezpieczeństwem. OS command injection, XSS, XSRF, authorization/authentication bypass, path traversal, ldap injection, xpath injection...można by tak długo ;-)
Na start polecam też:
http://owasptop10.googlecode.com/files/OWASP%20Top%201...
http://www.owasp.org/images/5/56/OWASP_Testing_Guide_v...
konto usunięte
Temat: testowanie aplikacji
Ja dodam jeszcze te z którymi się zetknąłem:- SQL Inject Me, XSS Me, Access Me - https://addons.mozilla.org/en-US/firefox/user/1792636
- Cenzic HailStorm - http://www.cenzic.com
- Wapiti - http://wapiti.sourceforge.net
- Acunetix Web Security Scanner - http://www.acunetix.com
Podobne tematy
-
PHP » Testowanie obiektow zaleznych od zewnetrznych aplikacji. -
-
PHP » Testowanie obciążeniowe aplikacji + serwer load balancing -
-
PHP » Testowanie aplikacji -
-
PHP » Warszawa - wspolpraca przy tworzeniu aplikacji facebookowych -
-
PHP » Centralne rejestrowanie błędów i ostrzeżeń z aplikacji PHP -
-
PHP » Testowanie produktów / usług -
-
PHP » TDD, testowanie i inne takie -
-
PHP » Testowanie kontrolerow Zend -
-
PHP » [Zlecę] napisanie aplikacji kalkulatora. -
-
PHP » [zlecę] kreator pytań, moduł aplikacji biznesowej -
Następna dyskusja: