Zabezpieczenie skryptu i proces instalacji.

Zabezpieczenie skryptu i proces instalacji., Jak najlepiej zabezpieczyć skrypt.

vifus Zobacz profil	19.04.2012, 19:25:26 Post #1
Grupa: Zarejestrowani Postów: 109 Pomógł: 13 Dołączył: 7.04.2012 Ostrzeżenie: (10%)	Witam, mam sobie taki pewien skrypt transakcyjny, który jeszcze 'nie wszedł w życie' i mam go tak 'zabezpieczonego' [PHP] pobierz, plaintext $nick = $_SESSION['nick']; $haslo = $_SESSION['haslo']; $user = mysql_fetch_array(mysql_query("SELECT * FROM uzytkownicy WHERE `nick`='$nick' AND `haslo`='$haslo' LIMIT 1")); if ((empty($nick)) AND (empty($haslo)) AND (empty($user[id]) OR !isset($user[id]))) { tresc dostepna po zalogowaniu } else { zaloguj sie itd. } [PHP] pobierz, plaintext I pytanie - czy to jest wystarczająco bezpieczne ? 2. Mam zamiar zrobić proces instalacji - jak to najlepiej rozwiązać ? mam na myśli w pliku index.php zrobić Zapytanie, że jeżeli plik config.php jest pusty to otwiera się install/index.php a po zakończeniu instalacji po prostu index.php bym nadpisywał takim samym plikiem z tym, że już bez tego zapytania czy config.php jest pusty. Czy to ma sens? Jak to najlepiej rozwiązać ? Dzięki z góry.

Odpowiedzi (1 - 5)

maniana Zobacz profil	19.04.2012, 19:49:20 Post #2
Grupa: Zarejestrowani Postów: 207 Pomógł: 44 Dołączył: 18.05.2007 Ostrzeżenie: (0%)	Przed dodanie jakichkolwiek zmiennych do zapytania przefiltruj je funkcjami, np: mysql_real_escape_string. Po prostu niebezpieczeństwo w 99% idzie od strony danych wejściowych. To tego możesz jeszcze posolić hasło (IMG:style_emoticons/default/smile.gif) Zabezpiecza to hasła które mogą wypłynąć na zewnątrz.

vifus Zobacz profil	19.04.2012, 19:52:45 Post #3
Grupa: Zarejestrowani Postów: 109 Pomógł: 13 Dołączył: 7.04.2012 Ostrzeżenie: (10%)	posolić to np. zakodować md5 ?

maniana Zobacz profil	19.04.2012, 19:55:42 Post #4
Grupa: Zarejestrowani Postów: 207 Pomógł: 44 Dołączył: 18.05.2007 Ostrzeżenie: (0%)	Tu było to wałkowane.

vifus Zobacz profil	19.04.2012, 20:03:57 Post #5
Grupa: Zarejestrowani Postów: 109 Pomógł: 13 Dołączył: 7.04.2012 Ostrzeżenie: (10%)	Dobra, to już rozumiem, a co z tą instalacją?

maniana Zobacz profil	19.04.2012, 22:59:31 Post #6
Grupa: Zarejestrowani Postów: 207 Pomógł: 44 Dołączył: 18.05.2007 Ostrzeżenie: (0%)	Tutaj nie powiem dokładnie. Nigdy w ten sposób nie celowałem w odbiorce aplikacji. Ja postawiłem na dobrze opisany plik konfiguracyjny i sprawdzanie podstawowych danych (np. połączenie z bazami czy hosty na których uruchamiana jest aplikacja) Zauważ, że im bardziej skrypty są rozbudowane, tym bardziej są one narażone na dziury. Ja w tym przypadku bym postawił na: 1. skierowanie domeny na katalog w którym jest tylko grafika i css i mały pliczek index.php (w którym jest tylko np. [PHP] pobierz, plaintext include '../aplikacja/init.php' [PHP] pobierz, plaintext ) Czyli cofniesz się ze skryptami w dół, tam gdzie przez domenę się nie dostaniesz. 2. Unikaj popularnych nazw (start, default, index, home, ..., i chyba init :) ) przy ew 'mass deface' aplikacja zostanie nienaruszona :) 3. Jak już konfig to user musi skasować plik konfiguracyjny (Edit: chodziło o plik instalacyjny). 4. Serwer z mod_secutiry to chyba podstawa (wyłapuje niestandardowe zapytania http oraz adresy URI skierowane do aplikacji) 5. Wszelkie moduły oferujące upload muszą być 100 razy przeanalizowane i tyle samo razy poprawione :) 6. URL pattern też się przyda do sterowania i bezpieczeństwa. Ten post edytował maniana 20.04.2012, 22:04:00

2 Użytkowników czyta ten temat (2 Gości i 0 Anonimowych użytkowników)

0 Zarejestrowanych:

Tryb wyświetlania: Przełącz na: Standardowy · Linearny+ · Przełącz na: Drzewo

Aktualny czas: 20.09.2025 - 16:11

Hosting zapewnia

Forum PHP.pl