Главная страницаСоздание сайтовБлог Кузнецова М.В.Статьи о PHPPHP-скриптыСтатьи об ApacheФорум С++КонсультацииФорум "Про Жизнь"
Форум: Форум PHPФорум ApacheФорум Регулярные ВыраженияФорум MySQLHTML+CSS+JavaScriptФорум FlashРазное
Новые темы: 0000000
Объектно-ориентированное программирование на PHP. Авторы: Кузнецов М.В., Симдянов И.В. PHP 5. На примерах. Авторы: Кузнецов М.В., Симдянов И.В., Голышев С.В. MySQL на примерах. Авторы: Кузнецов М.В., Симдянов И.В. Социальная инженерия и социальные хакеры. Авторы: Кузнецов М.В., Симдянов И.В. PHP на примерах (2 издание). Авторы: Кузнецов М.В., Симдянов И.В.
ВСЕ НАШИ КНИГИ 		Консультационный центр SoftTime

Форум PHP
Вход  Регистрация  Список форумов  Живой форум  Архив  RSS-канал  Правила форума  Участники "Online"  Все участники

Выбрать другой форум

 

Здравствуйте, Посетитель!

 Новая тема

 Поиск

  Список тем

вид форума:
Линейный форум Структурный форум

тема: какие существуют дыры в безопасности?

следующая тема
 
 автор: kramolnic   (02.01.2007 в 13:29)   письмо автору
  
 

Вопрос в общем-то частично по PHP, частично по Apache...
Какие могут существовать дыры в скриптах?
На различных ресурсах рекомендуют в обязательном порядке фильтровать все данные, передаваемые скрипту Get и Post запросами, ибо иначе взломщик получает возможность запросить из БД и получить на экране все, что содержится в базе данных. Допустим, я проверяю все передаваемые моему скрипту данные на корректность, стараюсь не производить выборку из базы по значениям, передаваемым моему скрипту через GET или POST... все вроде замечательно, но, насколько я понимаю, это не единственно возможный способ получить доступ к моей базе данных... хотелось бы побольше узнать о методах взлома.. могут ли взломщики влезть в БД MySQL, если не имеют возможности сделать свой запрос через дыры в моем скрипте? какие должны быть права доступа к файлам на сервере? как вообще могут ломануть сервак? что можно почитать по этой тематике?

   
 
 автор: cheops   (02.01.2007 в 14:09)   письмо автору
  
   для: kramolnic   (02.01.2007 в 13:29)
 

Возможно вас заинтересуют статьи по ссылкам
http://www.softtime.ru/info/articlephp.php?id_article=35
http://www.softtime.ru/info/articlephp.php?id_article=36
http://www.softtime.ru/info/task.php?id_article=81
Тема достаточно обширная, применительно к MySQL - возможны SQL-инъекции, основной метод борьбы: проверка, чтобы числовые параметры содержали только цифры, а строковые параметры не содержали кавычек. Применительно к JavaScript на страницах - XSS - перед выводом в окно браузера следует обрабатывать при помощи функции htmlspecialchars() все данные, которые вводит пользователь. При загрузке файлов пользователей на ваш сервер смотрите, чтобы они не имели расширений PHP, pl, HTML, js и т.п. Лучше вообще разрешать загрузку файлов лишь с определённым расширением. Разумеется при использовании конструкции include или производных, лучше не использовать динамические имена включаемых файлов.

PS Права доступа, взлом сервера и т.п. это обычно забота хостера - у Web-разработчика и своих проблем достаточно.
PPS Что касается атак на Web-приложения, возможно вас заинтересует наша книга Головоломки на PHP для хакера.

   
 
 автор: LuxeMate   (02.01.2007 в 14:14)   письмо автору
  
   для: cheops   (02.01.2007 в 14:09)
 

Уязвимости чатов
Уязвимости форумов
Уязвимости E-mail
Уязвимости порталов, сайтов, вебприложений - тут есть FAQ,в котором очень подробно описано что такое SQL-Injection и с чем её едят

   
Rambler's Top100
вверх

Rambler's Top100 Яндекс.Метрика Яндекс цитирования