Php mysql védelmek
2010-09-29T09:03:53+02:00
2010-09-29T10:54:38+02:00
2022-07-19T04:32:15+02:00
  • ... PHP-ban még az alábbi dolgokkal kell foglalkoznod biztonság miatt: ...


    "Bármi kellemetlenség, ami megtörténhet: megtörténik." - Morphy Törvénye

    Tehát, amihez a user hozzáfér, ahhoz 2X biztonsági intézkedés kell.

    pl.: mysql escape-elések, html-elek kiszűrése, scriptek szűrése stb. És mindezt minden beviteli mezőnél, url kezelésnél, adatbázis műveleteknél.
    Meg, érdemes úgy gondolkozni, hogyha több rangú az oldal, akkor minél nagyobb "hatalom" van egy felhasználónál, annál fokozottab biztonsági lépések kellenek.
    pl. az adminok jelszavát érdemes hetente változtattatni, mig a felhasználó akkor változtatja amikor akarja, és a többi.

    azonkívül a spam még egy kedvenc. Használj captchát regisztrációnál, esetleg belépésnél is, ha olyan az oldal. E-mail címeket, személyes adatokat rejteni a nyilvánosság elől... A nem kívánatos oldalakat meg ugye rejteni, spam botokat akár elirányítani máshova...
    Mutasd a teljes hozzászólást!
  • A szerveren levő php fájlok alapból védve vannak, azok tartalmát kívülről nem lehet elérni, csak az általuk generált kimenetet.

    Amiről most te kérdezel az nem alapvető megoldás, hanem, hogy hogyan célszerű felépítened egy oldal struktúráját.

    btw azért rakott az illető minden könyvtárba index.php-t hogy ha az adott könyvtár nevét beírják a böngészőbe (http://domain/könyvtár) akkor az ott található index.php visszairányítja őt a http://domain-re ahelyett, hogy 404-es hibát kapott volna. Persze szerver beállítástól függően ha nincs egy könyvtárban default fájl, akkor kilistázhatja a könyvtár tartalmát.Persze ez a funkció általában ki van kapcsolva, tehát 404-es hibát kap.

    Nézz utána a htaccess -nek, ha ilyen dolgok érdekelnek, de ez már szerver beállítás nem PHP.

    PHP-ban még az alábbi dolgokkal kell foglalkoznod biztonság miatt:
    - felhasználó bejelentkeztetése
    - bejelentkezés után egyedi session_id generálása
    - felhasználók jelszavának titkosítása md5-el

    Amúgy erről annyi téma lehet már az interneten, google-ba nézz utána.
    Mutasd a teljes hozzászólást!
  • az csak valami framework lehetett, ami arra van felkészítve, hogy adott esetben minden file a documentroot-ba kerül (elérhető webről).

    Én mindenképp azt javaslom, hogy csak az legyen elérhető netről, amit el is kell érni.
    Általában minden valamire való hoszting szolgáltatónál van egy public_html, htdocs, akármi mappa, ami elérhető webről, és tudsz azon kívülre is pakolászni.
    Ekkor a public_html-be rakd a javascriptet, css-t, képeket, meg az index.php -t, minden egyebet (config fileok, osztályok, stb.) pedig eggyel kintebbre.

    Nem nagy az esély rá, de behal a php értelmező, akkor a http://domained.hu/config.php egy az egyben visszaköpné nekem a fileod tartalmát mondjuk adatbázis jelszóval együtt.
    Mutasd a teljes hozzászólást!
  • Köszönöm, ebben benne van az egyik része az bevitt adat kezelés...de pl nézegettem példa oldalakat és nem értettem minek van minden könyvtárban index.php... egyiket megnyitottam és az volt bele írva // ha bele akarnának kukkantani ez visszaküldi a főoldalra

    Szóval érdekelnének még egyéb ilyen alapvető megoldások is.
    Mutasd a teljes hozzászólást!
  • Mutasd a teljes hozzászólást!
  • Sziasztok !

    Érdeklődni szeretnék, mivel kezdő vagyok, hogy php+mysql weblap írásakor, mikre kell odafigyelni, hogy a lehető legkevesebb biztonsági rés maradjon az oldalon. gondolok ilyenekre hogy a beviteli mezőt tartalmát kódolva küldöm el egy mysql kereséshez vagy hasonlók..

    Remélem tudtok írni pár okosságot mikre figyeljek..köszi
    Mutasd a teljes hozzászólást!
abcd