Witaj Gościu! ( Zaloguj | Rejestruj )

Forum PHP.pl

> [PHP]Zabezpieczenie aplikacji
code46
post
Post #1





Grupa: Zarejestrowani
Postów: 88
Pomógł: 0
Dołączył: 21.04.2005

Ostrzeżenie: (0%)
-----

Wiem jak się bronić przed sql injection ale nie wiem jak się bronić przed wstrzykiwaniem kody js i innymi atakami tego typu. Wiem, że wszystkie dane pochodzące od użytkownika należy filtrować ale czy samo htmlspecialchars jest 100% skuteczne.
mysql_escape_string załatwia problem sql_injection a i tak ludzie robią psikusy autorom stron. Wiem także, że rodzajów ataków jest dużo ale jak się przed tym skutecznie bronić? Jak filtrować dane?

Mam aplikację w której trzeba się logować. Jak zrobić aby przeglądarka w ogóle nie zapisywała cache'a treści - inny użytkownik tego samego komputera nie powinien mieć dostępu do treści (nawet minimalnej trzymanej w cache) - nie da się wymusić na użytkownikach czyszczenia cache za każdym razem po wylogowaniu.
Go to the top of the page
+Quote Post
 
 Start new topic
Odpowiedzi
Jarod
post
Post #2





Grupa: Zarejestrowani
Postów: 1 190
Pomógł: 27
Dołączył: 23.04.2005

Ostrzeżenie: (0%)
-----

Cytat(code46 @ 7.02.2009, 17:24:27 ) *
Wiem jak się bronić przed sql injection ale nie wiem jak się bronić przed wstrzykiwaniem kody js i innymi atakami tego typu. Wiem, że wszystkie dane pochodzące od użytkownika należy filtrować ale czy samo htmlspecialchars jest 100% skuteczne.
mysql_escape_string załatwia problem sql_injection a i tak ludzie robią psikusy autorom stron. Wiem także, że rodzajów ataków jest dużo ale jak się przed tym skutecznie bronić? Jak filtrować dane?

Mam aplikację w której trzeba się logować. Jak zrobić aby przeglądarka w ogóle nie zapisywała cache'a treści - inny użytkownik tego samego komputera nie powinien mieć dostępu do treści (nawet minimalnej trzymanej w cache) - nie da się wymusić na użytkownikach czyszczenia cache za każdym razem po wylogowaniu.


1. Filtrowanie danych wprowadzanych przez użytkownika (np. jeśli oczekujemy liczby to sprawdzamy czy to liczba)
2. Sql injection - filtrowanie danych np mysql_escape_string
3. XSS itp -> sprawdzanie czy użytkownik nie podaje do zapisania w bazie (wykorzystanie danych zachowanych) lub poprzez url (wykorzystanie danych odbitych) kodu JS, który może zostać wykonany. Jest to dosyć trudne ponieważ można przekazać zakodowany skrypt js.

ftp://ftp.helion.pl/online/ajabez/ajabez-2.pdf

Ten post edytował Jarod 7.02.2009, 19:22:20
Go to the top of the page
+Quote Post

Posty w temacie
- code46   [PHP]Zabezpieczenie aplikacji   7.02.2009, 17:24:27
- - Foxx   Temat: SQL_Injection_Insertion Temat: Bezpieczenst...   7.02.2009, 17:28:33
- - ayeo   ~code46, masz ponad 80 postów, a nie wiesz, że jes...   7.02.2009, 17:35:58
- - Jarod   Cytat(code46 @ 7.02.2009, 17:24:27 ) ...   7.02.2009, 19:00:51

« Następny starszy · Przedszkole · Następny nowszy »
 

Reply to this topicStart new topic
1 Użytkowników czyta ten temat (1 Gości i 0 Anonimowych użytkowników)
0 Zarejestrowanych:

 

Tryb wyświetlania: Przełącz na: Standardowy · Przełącz na: Linearny+ · Drzewo

Śledź ten temat · Wyślij temat na e-mail · Wydrukuj ten temat · Subskrybuj to forum

RSS Aktualny czas: 6.10.2025 - 13:36
Powered By IP.Board © 2025  IPS, Inc.
All changes by PHP.pl Administrators
Hosting zapewnia NQ.pl hosting, trac, svn