GoldenLine
Zaloguj się
Sławomir Jaro

Sławomir Jaro Student, PWSZ
Tarnobrzeg

Temat: Bezpieczeństwo strony www (PHP MYSQL)

Witam, pisząc nowe strony na pewno macie gotowe zabezpieczenia, które wklepujecie w kod. Ja mam stronę php opartą o baze danych mysql i chciałbym ją zabezpieczyć. Chciałbym zapytać jak filtrujecie zmienne? GET, POST? Jak zabezpieczcie formularze? Jak zabezpieczacie zapytania MySQL żeby nikt nie dopisał czegoś? Jak zabezpieczyć linki w przeglądarce. Czy da się zabezpieczyć katalogi żeby nie dało się cofnąć wstecz? tzn mamy dodatkową stronę w folderze strona.pl/inna_strona (na innej domenie) Czy jak ktoś dostanie się do tej strony będzie mógł przejść katalog niżej i mieć dostęp do wszystkich stron? Proszę o porady, linki. Będę wdzięczny. Już dzisiaj ktoś mi podmienił awatar.
Link do wypowiedziLink
Przemysław Mierkowski

Przemysław Mierkowski Software Developer

Temat: Bezpieczeństwo strony www (PHP MYSQL)

Zerknij tutaj. Podstawy opisane bardzo skrótowo, ale powinieneś mieć punkt zaczepienia do dalszych poszukiwań.
http://rynko.pl/bezpieczenstwo-stron-internetowych-zab...

Skoro masz takie pytania polecam także lekturę jakiegoś podręcznika do PHP. W większości powinny być odpowiedzi na twoje pytania.
Link do wypowiedziLink

konto usunięte

Temat: Bezpieczeństwo strony www (PHP MYSQL)

Przemysław M.:
Zerknij tutaj. Podstawy opisane bardzo skrótowo, ale powinieneś mieć punkt zaczepienia do dalszych poszukiwań.
http://rynko.pl/bezpieczenstwo-stron-internetowych-zab...

Skoro masz takie pytania polecam także lekturę jakiegoś podręcznika do PHP. W większości powinny być odpowiedzi na twoje pytania.

Wujku dobra rada jak już radzisz to rób to z sensem!
wspomniane przez ciebie periodyki to prosta droga do robienia spagetti code lub/i podatnego na SQL injection
Link do wypowiedziLink
Sławomir Jaro

Sławomir Jaro Student, PWSZ
Tarnobrzeg

Temat: Bezpieczeństwo strony www (PHP MYSQL)

htmlspecialchars, strip_tags, addslashes etc. znam to ale nie wiem kiedy stosować? co użyć najlepiej do POST ,GET... Jaki filtr zastosować do pól formularzy, co do pola tekstowego? Czy stosować wszystkie naraz? Czy do linku typu artykul.php?id=1 wystarczy sprawdzić czy to liczba?
Link do wypowiedziLink

konto usunięte

Temat: Bezpieczeństwo strony www (PHP MYSQL)

stosować zawsze, co za problem wysłać POST-em cokolwiek?
co do reszty to najlepiej stosować prepared statment
http://stackoverflow.com/questions/1299182/prepared-pa...
odpada ci wiele magii z klejeniem SQL-i
masz też taki wynalazek
http://php.net/manual/en/function.filter-input.php
po zastosowaniu którego możesz swobodnie olać funkcje które wymieniłeś

a i w dobrym obyczaju jest separowanie warstwy w której masz dostęp do danych, logikę biznesową i prezentacji

dlaczego - dlatego że jak przyjdzie ci poprawić/zmienić jakiś fragment to nie musisz rozgrzebywać kodu w przypadkowych miejscachTen post został edytowany przez Autora dnia 14.12.14 o godzinie 19:03
Link do wypowiedziLink

konto usunięte

Temat: Bezpieczeństwo strony www (PHP MYSQL)

Przemysław R.:
a i w dobrym obyczaju jest separowanie warstwy w której masz dostęp do danych, logikę biznesową i prezentacji

To podstawa pracy. Ale skoro była mowa o gotowych zabezpieczeniach to np. jest tak. Kohana ma dla przykładu query builder i ORM który zdaje się na tym bazuje. Czy to jest już wbudowane zabezpieczenie przed SQL Injection?

np. takie coś:



    public function getAll($userid)

    {

        $result = DB::select('*')

                ->from('users')

                ->where('userid', '=', $userid)

                ->execute()

                ->as_array();



        return $result;

    }


W jaki sposób działa tu ochrona jeśli to jest wbudowane zabezpieczenie?

Co do XSS, pod ten framework też są już istniejące biblioteki.

http://htmlpurifier.org
https://github.com/shadowhand/purifier

Oczywiście kod można pisać w całości od zera bazując na MVC ale po co?
Link do wypowiedziLink
« Wróć do tematów
Odpowiedz

Podobne tematy


Następna dyskusja:

[php+mysql}Optymalizacja st...




Wyślij zaproszenie do
Anuluj