Robis Posted February 25, 2004 Report Share Posted February 25, 2004 Sveiki! Man lapa ir taisīta uz php un MySQL un stāv uz server pakalpojuma sniedzēja servera! Tātad, es vēlos uzzināt tieši par server lietām: Vēlos, lai lapa būtu pietiekami droša pret hakeru uzbrukumiem! Lai arī lapā neglabājas nekādi klientu dati un kredītkaršu numuri vai bankas kontu informācijas, tomēr vēlos, lai lapa būtu aizsargāta vismaz tik daudz, lai kāds piekļūt datu bāzei kā arī visiem php skriptiem un citiem datiem! Kā uztaisīt .htaccess? Vai ir kāda pamācība tieši par htaccesiem un ko tie dara? Vai kāds var vēl kaut ko ieteikt? Link to comment Share on other sites More sharing options...
рпр Posted February 25, 2004 Report Share Posted February 25, 2004 http://httpd.apache.org/docs/howto/htaccess.html Link to comment Share on other sites More sharing options...
Kaklz Posted February 25, 2004 Report Share Posted February 25, 2004 Sveiki! Man lapa ir taisīta uz php un MySQL un stāv uz server pakalpojuma sniedzēja servera! Tātad, es vēlos uzzināt tieši par server lietām: Vēlos, lai lapa būtu pietiekami droša pret hakeru uzbrukumiem! Lai arī lapā neglabājas nekādi klientu dati un kredītkaršu numuri vai bankas kontu informācijas, tomēr vēlos, lai lapa būtu aizsargāta vismaz tik daudz, lai kāds piekļūt datu bāzei kā arī visiem php skriptiem un citiem datiem! Kā uztaisīt .htaccess? Vai ir kāda pamācība tieši par htaccesiem un ko tie dara? Vai kāds var vēl kaut ko ieteikt? Jautājums tev: vai tu gribi arī atļaut apmeklētājiem savu lapu apskatīt? :) Teorētiski liela daļa atbildības šajā gadījumā ir jāuzņemas pakalpojumu sniedzējam, ja vien tavi skripti nav izcili līki. ar .htaccess palīdzību vismaz es parasti aizsargāju tādas direktorijas, kurās parastiem lietotājiem nekas nav jāmeklē ;) Link to comment Share on other sites More sharing options...
Robis Posted February 25, 2004 Author Report Share Posted February 25, 2004 hmmm.... Tad man ir taads jautaajums: ko tu domaaji ar "parastajiem lietotaajiem"? Skripti man droshi vien nav izcili liiki, jo lapa tak darbojas! :) Vari apskatiit to sheit: http://www.btcship.com , tikai luudzu nelauz valjaa :D, bet labaak pasaki, kaa to labaak aizsargaat? Sesijas es neesmu lapaa izmantojis! Vai vajadzeetu? Jaa un ja es aizsargaaju ar .htaccess kaadu direktoriju, es kaa admins tam tikshu klaat? Es veelos 2 lietas: 1) lai lapu un datubaazi kaads nevareetu sabojaat! 2) lai kaads nevareetu ieskatiities manos skriptos! :) Link to comment Share on other sites More sharing options...
Aleksejs Posted February 25, 2004 Report Share Posted February 25, 2004 Es veelos 2 lietas: 1) lai lapu un datubaazi kaads nevareetu sabojaat! 2) lai kaads nevareetu ieskatiities manos skriptos! 1) Uztaisi lietotāju, kuram ir tiesības tikai lasīt vajadzīgās lietas no DB un izmanto šo lietotāju, lai slēgtos klāt datubāzei. Lietotāju ar rakstīšanas/db modificēšanas tiesībām izmanto tikai tur, kur tas ir galīgi nepieciešāms. Pārbaudi absolūti visus datus, kas nāk no klienta puses. 2) uzliec error_reporting(0); skriptu sākumā. Piemēram, šobrīd, verot vaļā http://www.btcship.com/index.php?lang=ru rāda: Warning: main(languages/russian.php): failed to open stream: No such file or directory in /home/virtual/site55/fst/var/www/html/index.php on line 28 Fatal error: main(): Failed opening required 'languages/russian.php' (include_path='.:/php/includes:/usr/share/php') in /home/virtual/site55/fst/var/www/html/index.php on line 28 Zinošs ļaundaris (it sevišķi, ja viņš zina kaut ko vairāk par serveri un taviem skriptiem) varētu šos kļūdu paziņojumus izmantot savos nolūkos. Link to comment Share on other sites More sharing options...
Robis Posted February 25, 2004 Author Report Share Posted February 25, 2004 (edited) Un ja nu tas ljaundaris tagad lasa shito forumu, ko? Error reporting es gan nonjeemu, bet tagad studeeju vispaar server lietas un .htaccess, kur maz ko zinu... + Jautaajums: Ko tu domaaji ar "paarbaudi visus datus, kas naak no klienta puses"? Edited February 25, 2004 by Robis Link to comment Share on other sites More sharing options...
Aleksejs Posted February 25, 2004 Report Share Posted February 25, 2004 Ko tu domaaji ar "paarbaudi visus datus, kas naak no klienta puses"? Piemēram to, ka neliec uzreiz SQL vaicājumā visu, ko tev atsūta klients. Ja parametram $_POST['a'] bija jābūt skaitlim, tad pārliecinies, ka ievadītais tiešām ir skaitlis. Pārbaudi ievadīto teksta laukumu garumu, vai nav par garu/īsu. Ar teksta laukiem vispār ir ņemtne. Pārbaudi, vai nav savadītas visādas pēdiņas, apostrofi procenti utt. Link to comment Share on other sites More sharing options...
Kaklz Posted February 25, 2004 Report Share Posted February 25, 2004 hmmm....Tad man ir taads jautaajums: ko tu domaaji ar "parastajiem lietotaajiem"? Skripti man droshi vien nav izcili liiki, jo lapa tak darbojas! :) Vari apskatiit to sheit: http://www.btcship.com , tikai luudzu nelauz valjaa :D, bet labaak pasaki, kaa to labaak aizsargaat? Sesijas es neesmu lapaa izmantojis! Vai vajadzeetu? Jaa un ja es aizsargaaju ar .htaccess kaadu direktoriju, es kaa admins tam tikshu klaat? Es veelos 2 lietas: 1) lai lapu un datubaazi kaads nevareetu sabojaat! 2) lai kaads nevareetu ieskatiities manos skriptos! :) parastie lietotāji ir visi lietotāji, kas skatās lapu, kam nav paredzētas administratora tiesības. 1) skriptos tāpat vien neviens ieskatīties nevar. ja tu neiekļauj ārējus failus, tad ieskatīšanās php failos var būt tikai un vienīgi hostinga pakalpojumu sniedzēja dēļ 2) lapu un datubāzi sabojāt var, ja tu darbojies ar nepārbaudītiem lietotāja datiem, izmantojot SQL injekcijas jeb SQL pieprasījumu sabojāšanu vai arī tad, ja hostētājs ir vainīgs. ir viena lieta, ko der iegaumēt - internetā ir pārāk daudz lapas, lai visas nedrošās tiktu uzlauztas ;) Tie, kas māk lauzt - tiem neatliek laika tādām muļķībām, kā lauzt parastas informatīvas mājas lapas, ja vien uzņēmumam nav kādi kaitējoši konkurenti vai kādi citi ienaidnieki, kas ir ar mieru attiecīgiem personāžiem samaksāt. Link to comment Share on other sites More sharing options...
Digital-X Posted February 29, 2004 Report Share Posted February 29, 2004 .htaccess ar saturu "deny from all" :) Un viss nokaartots :D Link to comment Share on other sites More sharing options...
Venom Posted March 1, 2004 Report Share Posted March 1, 2004 p.s.> pa pasauli klīst tenkas, ka latviešu free-hosķingisti čiep iepatikošos projektu kodus. trustno1 / © Fox Mulder passwords iekš FBI datoriem Link to comment Share on other sites More sharing options...
Recommended Posts