Правила     Закладки     Карма    Календарь    Журналы    Помощь    Поиск    PDA    Чат   
        СМС-ки
   
Пейджер выключен!
 
Фильтр авторов:    показать 
  скрыть
  Закрытая темаСоздание новой темыСоздание опроса

> Как обезопасить себя от основных уязвимостей в PHP-коде?
FatCat  
 ۩  [x] Дата
Цитировать сообщение

Пользователь сейчас на форуме



Чеширский кот
******

Профиль
Журнал
Группа: Администратор
Почтальон группы
Сообщений: 5959
Пользователь №: 1
На форуме: 10 лет, 11 месяцев, 17 дней
Карма: 126

Не пью :
22 года, 4 месяца, 17 дней


Сегодня высокие технологии стали неотъемлемой частью жизни практически каждого человека. Это и мобильные телефоны, и компьютеры, и различные коммуникационные устройства, а также многое другое. Однако каким бы многофункциональным ни было устройство, его работа невозможна без специального программного обеспечения. Сейчас такие программы можно не только приобрести или сделать на заказ, но и скачать некоторые из них в Интернете, так как они могут распространяться свободно: например, аська для телефона бесплатно может быть скачана на официальном сайте.

Как правило, программное обеспечение использует в качестве базы несколько основных языков программирования, однако наиболее часто в роли основы выступает PHP. Однако, к сожалению, даже очень хороший специалист в данной области не может полностью исключить возможность взлома защиты какой-либо программы. Именно поэтому широко популярными стали съезды программистов различных фирм и компаний на различные семинары и мастер-классы, которые проводятся с целью обмена опытом и повышения квалификации.

Достаточно часто многие программы бывают взломаны из-за использования некоторых функций и видов запросов, через которые злоумышленник способен получить доступ к базе данных или паролям. Они защищают такие сведения как, например, личные данные пользователей, пароли и номера кредитных карт, используемых для дистанционной работы с банковскими счетами, кошельки и пароли различных платежных систем, распространенных в Интернете, конфиденциальные сведения различных бухгалтерских отчетов и так далее.

Специалисты не советуют при работе с важной информацией открывать неизвестные или непроверенные файлы, особенно если их имя базируется на вводе пользователя, а также include() и require() - в этом случае файл примет вид документа HTML, а не обработанного PHP-кода. В результате взломщик сможет получить пароли от сервера через уязвимые места кода, под видом вашего скрипта отправить запрос на вывод информации о базе данных или даже её уничтожение, раскрытие конфиденциальных сведений и так далее.

Кроме того, нежелательно использовать неэкранированные запросы, поскольку в таком случае может быть произведен ввод внутреннего имени пользователя. Другими словами, злоумышленник сможет получить права администратора вместе со всеми его возможностями, включая доступ к особо засекреченным разделам. Защититься от подобных казусов можно про помощи функции "magic_quotes_gpc", добавляющей ко всем вводимым сведения слеш. Если же при её вводе вам приходит ответ "false", что вполне может быть, если функция отключена, то можно заменить "magic_quotes_gpc" на "addslashes" и закрыть потенциально уязвимую часть кода.





Спустя 2 минуты, 19 секунд (1.03.2010 - 14:38) FatCat написал(а):
Такую вот статью прислали нам партнеры.
Я отказался принять, прислали повторно... ОК, во флейме, ИМХО, статье будет достойное место.
Кто хочет постебаться, я не виноват. biggrin.gif

Спустя 6 минут, 28 секунд (1.03.2010 - 14:44) twin написал(а):
Напугал, блин. Я думал это ты чего покурил. laugh.gif


--------------------
Бесплатному сыру в дырки не заглядывают...
PMПисьмо на e-mail пользователюICQ
    0   Для быстрого поиска похожих сообщений выделите 1-2 слова в тексте и нажмите сюда Для быстрой цитаты из этого сообщения выделите текст и нажмите сюда
1 Пользователей читают эту тему (1 Гостей и 0 Скрытых Пользователей)
0 Пользователей:

Опции темы Закрытая темаСоздание новой темыСоздание опроса