 [PHP]Zabezpieczenie aplikacji |
  |
| [PHP]Zabezpieczenie aplikacji |
 7.02.2009, 17:24:27
Post
#1
|
|
|
Grupa: Zarejestrowani Postów: 88 Pomógł: 0 Dołączył: 21.04.2005 Ostrzeżenie: (0%) 
 |
Wiem jak się bronić przed sql injection ale nie wiem jak się bronić przed wstrzykiwaniem kody js i innymi atakami tego typu. Wiem, że wszystkie dane pochodzące od użytkownika należy filtrować ale czy samo htmlspecialchars jest 100% skuteczne.
mysql_escape_string załatwia problem sql_injection a i tak ludzie robią psikusy autorom stron. Wiem także, że rodzajów ataków jest dużo ale jak się przed tym skutecznie bronić? Jak filtrować dane? Mam aplikację w której trzeba się logować. Jak zrobić aby przeglądarka w ogóle nie zapisywała cache'a treści - inny użytkownik tego samego komputera nie powinien mieć dostępu do treści (nawet minimalnej trzymanej w cache) - nie da się wymusić na użytkownikach czyszczenia cache za każdym razem po wylogowaniu. |
 |
 
|
|
7.02.2009, 17:28:33
Post
#2
|
|
 Grupa: Zarejestrowani Postów: 896 Pomógł: 76 Dołączył: 15.11.2003 Skąd: Sosnowiec/Kraków Ostrzeżenie: (0%)
|
|
|
|
|
|
7.02.2009, 17:35:58
Post
#3
|
|
 Grupa: Przyjaciele php.pl Postów: 1 202 Pomógł: 117 Dołączył: 13.04.2007 Skąd: 127.0.0.1 Ostrzeżenie: (0%)
|
~code46, masz ponad 80 postów, a nie wiesz, że jest coś takiego jak wyszukiwarka na forum? Temat wałkowany 1000 razy!
Pozdrawiam! -------------------- |
|
|
|
|
7.02.2009, 19:00:51
Post
#4
|
|
|
Grupa: Zarejestrowani Postów: 1 190 Pomógł: 27 Dołączył: 23.04.2005 Ostrzeżenie: (0%)
|
Cytat(code46 @ 7.02.2009, 17:24:27 )  Wiem jak się bronić przed sql injection ale nie wiem jak się bronić przed wstrzykiwaniem kody js i innymi atakami tego typu. Wiem, że wszystkie dane pochodzące od użytkownika należy filtrować ale czy samo htmlspecialchars jest 100% skuteczne. mysql_escape_string załatwia problem sql_injection a i tak ludzie robią psikusy autorom stron. Wiem także, że rodzajów ataków jest dużo ale jak się przed tym skutecznie bronić? Jak filtrować dane? Mam aplikację w której trzeba się logować. Jak zrobić aby przeglądarka w ogóle nie zapisywała cache'a treści - inny użytkownik tego samego komputera nie powinien mieć dostępu do treści (nawet minimalnej trzymanej w cache) - nie da się wymusić na użytkownikach czyszczenia cache za każdym razem po wylogowaniu. 1. Filtrowanie danych wprowadzanych przez użytkownika (np. jeśli oczekujemy liczby to sprawdzamy czy to liczba) 2. Sql injection - filtrowanie danych np mysql_escape_string 3. XSS itp -> sprawdzanie czy użytkownik nie podaje do zapisania w bazie (wykorzystanie danych zachowanych) lub poprzez url (wykorzystanie danych odbitych) kodu JS, który może zostać wykonany. Jest to dosyć trudne ponieważ można przekazać zakodowany skrypt js. ftp://ftp.helion.pl/online/ajabez/ajabez-2.pdf Ten post edytował Jarod 7.02.2009, 19:22:20 -------------------- ”Godzina nauki w życiu nowoczesnego apostoła jest godziną modlitwy.”
(św. Josemaría Escrivá, Droga, 335) |
|
|
|
|
|
Wersja Lo-Fi | Aktualny czas: 19.07.2025 - 05:58 |
