Да, ко второму. Помимо GET и POST обрабатывать нужно также COOKIES, так как это также приходит от пользователя.
Еще иногда забывают обрабатыватывать эти данные при ajax-запросах.
5. безопасность файловой системы
include, require etc....
_____________
Я думал я буду сеять добро, но у меня не получилось. Во-первых, мне помешали, во-вторых я сам отрекся от этой идеи.
Полная Версия: Обсуждение темы безопасности
Ну вообще то я написал, что если обрабатывать данные запросах, тогда не будет разницы, откуда они. Дописал пару строк, что бы акцентровать. Спасибо.
_____________
Если вам недостаточно собственных заблуждений, можно расширить их мнениями экспертов.
Нужно уважать мнение оппонета. Ведь заблуждаться - его святое право.
Настаивал, настаиваю и буду настаивать на своем. На кедровых орешках.
_____________
Если вам недостаточно собственных заблуждений, можно расширить их мнениями экспертов.
Нужно уважать мнение оппонета. Ведь заблуждаться - его святое право.
Настаивал, настаиваю и буду настаивать на своем. На кедровых орешках.
Спасибо за полезную информацию,теперь я имею хоть какоето представление о видах атак и как от них защитится 
_____________
Бесполезно просить пощады у цезаря
Фатальная ошибка : Звонок в неопределенную функцию ©
_____________
Бесполезно просить пощады у цезаря
Фатальная ошибка : Звонок в неопределенную функцию ©
Огромное спасибо twin за очень хорошо изложенный матерьяльчик, а не смог бы ты по подробней рассказать по другим возможным атакам и как от них защищаться, типа чем вредны cookies, session и что еще может вред принести. Про php инъекции рассказывать не надо в инете много о них рассказано и уже понятно как от них оберегаться.
twin
А вы, батенька, говорили что никому не интересно
Свои 5 копеек хочу добавить - при xss там не только куки воруют, но и могут прикреплять свои исполняемые файлы. Но в этом я лАпух, потому не буду спорить))
Еще просьба про регулярки привести пару примеров, какой должна быть проверка, где какие символы и все такое, будет интересно просмотреть, в дополнение сказанному.
А то сайт сверстать то сверстал, но проверок не делал
stepan
В инете сейчас всё есть, но не все знают о его существовании. Пару строками и примером то можно напомнить, а человек ,если оно ему действительно нужно, сам нароет в инете подробности.
_____________
... и помните! Каким бы ни был PHP, главное - чтобы он был защищенным! :) (PHP с Анфисой Чеховой)
А вы, батенька, говорили что никому не интересно
Свои 5 копеек хочу добавить - при xss там не только куки воруют, но и могут прикреплять свои исполняемые файлы. Но в этом я лАпух, потому не буду спорить))
Еще просьба про регулярки привести пару примеров, какой должна быть проверка, где какие символы и все такое, будет интересно просмотреть, в дополнение сказанному.
А то сайт сверстать то сверстал, но проверок не делал
stepan
В инете сейчас всё есть, но не все знают о его существовании. Пару строками и примером то можно напомнить, а человек ,если оно ему действительно нужно, сам нароет в инете подробности.
_____________
... и помните! Каким бы ни был PHP, главное - чтобы он был защищенным! :) (PHP с Анфисой Чеховой)
А я почему писать то не хотел. Потому что все равно никто не читает. Вот и ты, скажи, чего нибудь понял то из этого?
Мне кажется нет. Потому что как связать это:
Мне кажется нет. Потому что как связать это:
| Цитата |
| Не бывает опасных символов, это нужно понять и усвоить. Если бы символы были опасными, их небыло бы ни в спецификациях ни даже на клавиатуре. Есть ситуации, в которых определенная комбинация символов может нарушить запланированный сценарий. Но это совсем не значит, что их нужно запрещать. |
и это:
| Цитата |
| Еще просьба про регулярки привести пару примеров, какой должна быть проверка, где какие символы и все такое |
Какие еще регулярки...
Бестолковое это занятие - трактаты писать. Пока сам не дойдешь, хоть кол на голове.
_____________
Если вам недостаточно собственных заблуждений, можно расширить их мнениями экспертов.
Нужно уважать мнение оппонета. Ведь заблуждаться - его святое право.
Настаивал, настаиваю и буду настаивать на своем. На кедровых орешках.
twin
Если чесно - то не придавал значения вот этому знаку (`). Уже поумнел на один символ
Да и как ты хотел, эта статья не на эксперта же расчитана, а на человека из раздела "для новичков".
_____________
... и помните! Каким бы ни был PHP, главное - чтобы он был защищенным! :) (PHP с Анфисой Чеховой)
Если чесно - то не придавал значения вот этому знаку (`). Уже поумнел на один символ
Да и как ты хотел, эта статья не на эксперта же расчитана, а на человека из раздела "для новичков".
_____________
... и помните! Каким бы ни был PHP, главное - чтобы он был защищенным! :) (PHP с Анфисой Чеховой)
если бы ещё ограничить длинну текста, до того как будешь делать addslashes
и перед addslashes проверки на magic_quotes
тогда безопасно
и перед addslashes проверки на magic_quotes
тогда безопасно
| Цитата (Sylex @ 27.09.2009 - 09:52) |
| Помимо GET и POST обрабатывать нужно также COOKIES, так как это также приходит от пользователя. |
Недавно столкнулся со взломом форума через подделку айпишника по "икс-форвардед-фор"...
Вот уж что не предполагал фильтровать...
Айпишники посетителей в постах видны администраторам и супермодераторам; соответственно и куки угонялись только админские и супермодерские.
И самая примитивная "заплатка" для проверки айпишника:
| PHP |
if(intval(str_replace(".","",$ip))!=str_replace(".","",$ip))$ip = "---"; |
_____________
Бесплатному сыру в дырки не заглядывают...
| Цитата (FatCat @ 27.09.2009 - 13:41) |
| Недавно столкнулся со взломом форума через подделку айпишника по "икс-форвардед-фор"... |
Хе..) Умно
Вообще считаю что это глупо искать "настоящий" IP-шник (через икс-форвардед-фо и пр.), тот же самый апач пишет в логи то же что и в REMOTE_ADDR находится.
Очень интересная статья - заставляет о многом задуматься.
Мне вот в проблемах с куками еще не совсем ясен вопрос как
осуществить какую-то защиту если кто-то сядет за твой комп
и как-то скопирует куки, чтоб потом сам входить как ты.
Вот например этот форум - разграничивать по ip или если вошел
с помощью кук - не давать доступа к изменению личной информации
(ее можно менять только если например вошел с паролем) и т.д...
Мне вот в проблемах с куками еще не совсем ясен вопрос как
осуществить какую-то защиту если кто-то сядет за твой комп
и как-то скопирует куки, чтоб потом сам входить как ты.
Вот например этот форум - разграничивать по ip или если вошел
с помощью кук - не давать доступа к изменению личной информации
(ее можно менять только если например вошел с паролем) и т.д...
| Цитата |
| А я почему писать то не хотел. Потому что все равно никто не читает. |
Читаем twin и не по разу чтоб все до конца понять. Спасибо за статью. Ждем продолжения.
_____________
There never was a struggle in the soul of a good man that was not hard
еще к вопросу о безопасности 
http://www.xakep.ru/post/47311/default.asp
более серьезные, и менее "излечимые"
_____________
Я думал я буду сеять добро, но у меня не получилось. Во-первых, мне помешали, во-вторых я сам отрекся от этой идеи.
http://www.xakep.ru/post/47311/default.asp
более серьезные, и менее "излечимые"
_____________
Я думал я буду сеять добро, но у меня не получилось. Во-первых, мне помешали, во-вторых я сам отрекся от этой идеи.
ВАпрос. Читал что при проверке попадаемых значений в переменную, которую использует скрипт для вывода чегото из базы рекомендовалось при возможности запрещать кроме спец символов, так же еще основные команды sql, если точно известно что они никогда в данном примере не будут применяться, а именно - DROP, DELETE,UNION и остальные.
Чепуха или нужная вещь?
_____________
... и помните! Каким бы ни был PHP, главное - чтобы он был защищенным! :) (PHP с Анфисой Чеховой)
Чепуха или нужная вещь?
_____________
... и помните! Каким бы ни был PHP, главное - чтобы он был защищенным! :) (PHP с Анфисой Чеховой)
Вот ты палемику в ветке про помощь на форуме развёл. Вот тебе результат. Пиши не пиши, объясняй не объясняй... Ечли человек хочет так как хосет, а не так как надо, то хоть сто статей напиши и хоть триста раз помоги - всё мимо. Пока сам на граблю не наступит.
Я самыми первыми строчкеами написал, не надо даже всё читать.
Я самыми первыми строчкеами написал, не надо даже всё читать.
| Цитата |
| Не бывает опасных символов, это нужно понять и усвоить. Если бы символы были опасными, их небыло бы ни в спецификациях ни даже на клавиатуре. Есть ситуации, в которых определенная комбинация символов может нарушить запланированный сценарий. Но это совсем не значит, что их нужно фильтровать (а значит запрещать). |
_____________
Если вам недостаточно собственных заблуждений, можно расширить их мнениями экспертов.
Нужно уважать мнение оппонета. Ведь заблуждаться - его святое право.
Настаивал, настаиваю и буду настаивать на своем. На кедровых орешках.
twin
Не буду и тут уточнять и разводить полемику, ответ понял. Хотя символы и команды немного разное.
_____________
... и помните! Каким бы ни был PHP, главное - чтобы он был защищенным! :) (PHP с Анфисой Чеховой)
Не буду и тут уточнять и разводить полемику, ответ понял. Хотя символы и команды немного разное.
_____________
... и помните! Каким бы ни был PHP, главное - чтобы он был защищенным! :) (PHP с Анфисой Чеховой)
Здесь расположена полная версия этой страницы.