| |
|
|
| | После прочтения нескольких статей по защите своих сайтов я выявил несколько способов защиты :
1. Использование функции md5 для хэшировария паролей, логинов.
2. Проверка $_SERVER['REFERRER'], доверять ей нельзя, т.к. ее можно запросто сгенерировать, но как убеждают авторы, 90% атак на этом заканчиваются.
3. Включение в формы скрытых полей ( IP, sid ), полностью доверять таким полям естесственно тоже нельзя.
4. использование функции htmlentities для вывода на экран.
5. использование функций substr, strtolower, регулярных выражений.
Вопрос : как еще можно защитить свой сайт? | |
| |
|
|
| |
|
|
| |
для: Tristan
(03.06.2005 в 17:31)
| | | Да собственно правило-то одно: не принимать на веру любые данные полученные скриптом извне (например от юзера или от другого скрипта). А все остальное - лишь способы убедится что скриптом получено то, что мы ожидаем. | |
| |
|
|
| |
|
|
| |
для: Loki
(03.06.2005 в 17:48)
| | | Мой сайт был взломан только SQL INJ. Я допустил одну маленькую ошибку.
У меня был вид адреса такой: http://phpcom.ru/doc/?id_doc=1
Я не проверял is_numeric($doc), за что поплатился.
Хорошо, что я попросил знакомого проверить...
Отсюда вывод.
Всегда проверять внешние переменные | |
| |
|
|
