 Jak zabezpieczyć?, Jak zabezpieczyć zaawansowany portal |
| Jak zabezpieczyć?, Jak zabezpieczyć zaawansowany portal |
| -Antidote- |
Post
#1
|
|
Goście  |
Witam,
Moje pytanie kieruję do bardziej zaawansowanych programistów php. Ponieważ ostatnio zajmuję się współpracą przy tworzeniu serwisu aukcyjnego bazującego właśnie na php i MySQL, zacząłem zastanawiać się nad kwestią bezpieczeństwa danych tam przechowywanych. Serwis ma docelowo obsługiwać kilka do kilkunastu tysięcy użytkowników. Chciałbym, aby stopień bezpieczeństwa był porównywalny np. do Allegro. Chodzi mi bardziej o rodzaje zabezpieczeń, niż konkretne linie kodu. Jakie techniki bezpieczeństwa są tam stosowane? A może jakie nie są, a powinny? Jak przebiega proces autoryzacji użytkowników? Czy korzystać z obsługi sesji i cookies? A może zastosować kodowanie plików php? Serwis będzie umożliwiał przesyłanie pieniędzy pomiędzy użytkownikami, tak jak w Płatnościach Allegro, więc kwestia bezpieczeństwa jest tu bardzo ważna. Z góry dziękuję za wszelkie sugestie i komentarze, chciałbym zdobyć jak najwięcej informacji na ten temat. Jeśli ktoś dysponuje konkretnymi linkami do artykułów / tutoriali, chętnie się z nimi zapoznam. Pozdrawiam (IMG:http://forum.php.pl/style_emoticons/default/smile.gif) |
 |
 
|
 |
|
Post
#2
|
|
|
Grupa: Zarejestrowani Postów: 530 Pomógł: 0 Dołączył: 15.01.2005 Skąd: Warszawa Ostrzeżenie: (0%) 
|
Co do wypowiedzi TomASSa ttylko dodam (technicznie):
2. Choć nie każdy serwer ma SSL (w rozwiązaniach biznesowych napewno są) jest to idealne rozwiązanie (IMG:http://forum.php.pl/style_emoticons/default/smile.gif) 4. Najlepiej zrobić opcje "korzystam tylko z jednego adresu IP" i wytłumaczenie juzerowi o co w tym chodzi. Bo pamiętajmy, że musi mieć to do wyboru - np. będzie chciał coś kupić, a nie będzie go w domu... wtedy będzie miał głupio... Najlepiej wtedy ustawić, blokadę na 1 ip i w razie potrzeby kontakt z administratorem... 5. Można do tego użyć już walidacji przez php - np. w przypadku braku duży liter, małych i cyfr wyburacza juzerowi że ma za słabe hasło. Co do sesji najlepiej robić je aby trwały maksymalnie 5 minut (lub mniej) - im więcej czasu trfania tym większe prawdopodobieństwo, że może się stać coś złego.. Kolejnym dobrym pomysłem (stosowanym np. w wielu bankach na stronach internetowych) jest automatyczne wylogowanie juzera po dwóch minutach nic nie robienia... Co do kodowania plików php - jeśli jest to system działający w zakresie prywatnym (np. tylko dla jednej firmy) niepotrzebne jest kodowanie plików php. Tak naprawdę kodowanie plików php może się tylko przydać przy sprzedawaniu systemów php. Ten post edytował Master Miko 13.05.2006, 09:47:45 |
|
|
|
Antidote Jak zabezpieczyć? 12.05.2006, 17:08:16 
E-d Allegro robi tak że po rejestracj musisz poczekać ... 13.05.2006, 08:25:47 TomASS ja raczej zajmuje się programami dla biznesu, do k... 13.05.2006, 09:11:18 siemakuba ja też powołam się na allegro.pl, ale z innej becz... 13.05.2006, 09:54:01 J4r0d Cytat(Master Miko @ 2006-05-13 08:45:12)Kolej... 13.05.2006, 11:32:00 Master Miko Np.
Używasz funkcji header (w php). Ustawiasz aby ... 13.05.2006, 21:18:43 TomASS No headerem to chyba nie za bardzo zmusić przegląd... 13.05.2006, 21:29:48 Master Miko Oczywiście że się da!
[PHP] pobierz, plaintex... 13.05.2006, 22:02:54 TomASS Masz rację że się da headerem przeładować stronę -... 13.05.2006, 22:48:04 
Master Miko Niestety.... php nie ma takiej kontroli. Ja bym da... 13.05.2006, 22:50:12  |
|
Aktualny czas: 3.10.2025 - 12:20 |
