Jump to content
php.lv forumi

Drošība


Robis

Recommended Posts

Sveiki!

 

Man lapa ir taisīta uz php un MySQL un stāv uz server pakalpojuma sniedzēja servera! Tātad, es vēlos uzzināt tieši par server lietām:

Vēlos, lai lapa būtu pietiekami droša pret hakeru uzbrukumiem! Lai arī lapā neglabājas nekādi klientu dati un kredītkaršu numuri vai bankas kontu informācijas, tomēr vēlos, lai lapa būtu aizsargāta vismaz tik daudz, lai kāds piekļūt datu bāzei kā arī visiem php skriptiem un citiem datiem!

Kā uztaisīt .htaccess? Vai ir kāda pamācība tieši par htaccesiem un ko tie dara?

Vai kāds var vēl kaut ko ieteikt?

Link to comment
Share on other sites

Sveiki!

 

Man lapa ir taisīta uz php un MySQL un stāv uz server pakalpojuma sniedzēja servera! Tātad, es vēlos uzzināt tieši par server lietām:

Vēlos, lai lapa būtu pietiekami droša pret hakeru uzbrukumiem! Lai arī lapā neglabājas nekādi klientu dati un kredītkaršu numuri vai bankas kontu informācijas, tomēr vēlos, lai lapa būtu aizsargāta vismaz tik daudz, lai kāds piekļūt datu bāzei kā arī visiem php skriptiem un citiem datiem!

Kā uztaisīt .htaccess? Vai ir kāda pamācība tieši par htaccesiem un ko tie dara?

Vai kāds var vēl kaut ko ieteikt?

Jautājums tev: vai tu gribi arī atļaut apmeklētājiem savu lapu apskatīt? :)

 

Teorētiski liela daļa atbildības šajā gadījumā ir jāuzņemas pakalpojumu sniedzējam, ja vien tavi skripti nav izcili līki.

 

ar .htaccess palīdzību vismaz es parasti aizsargāju tādas direktorijas, kurās parastiem lietotājiem nekas nav jāmeklē ;)

Link to comment
Share on other sites

hmmm....

Tad man ir taads jautaajums: ko tu domaaji ar "parastajiem lietotaajiem"?

Skripti man droshi vien nav izcili liiki, jo lapa tak darbojas! :) Vari apskatiit to sheit: http://www.btcship.com , tikai luudzu nelauz valjaa :D, bet labaak pasaki, kaa to labaak aizsargaat? Sesijas es neesmu lapaa izmantojis! Vai vajadzeetu?

Jaa un ja es aizsargaaju ar .htaccess kaadu direktoriju, es kaa admins tam tikshu klaat? Es veelos 2 lietas:

1) lai lapu un datubaazi kaads nevareetu sabojaat!

2) lai kaads nevareetu ieskatiities manos skriptos! :)

Link to comment
Share on other sites

Es veelos 2 lietas:
1) lai lapu un datubaazi kaads nevareetu sabojaat!
2) lai kaads nevareetu ieskatiities manos skriptos!

 

1) Uztaisi lietotāju, kuram ir tiesības tikai lasīt vajadzīgās lietas no DB un izmanto šo lietotāju, lai slēgtos klāt datubāzei. Lietotāju ar rakstīšanas/db modificēšanas tiesībām izmanto tikai tur, kur tas ir galīgi nepieciešāms.

Pārbaudi absolūti visus datus, kas nāk no klienta puses.

 

2) uzliec error_reporting(0); skriptu sākumā. Piemēram, šobrīd, verot vaļā http://www.btcship.com/index.php?lang=ru rāda:

Warning: main(languages/russian.php): failed to open stream: No such file or directory in /home/virtual/site55/fst/var/www/html/index.php on line 28

 

Fatal error: main(): Failed opening required 'languages/russian.php' (include_path='.:/php/includes:/usr/share/php') in /home/virtual/site55/fst/var/www/html/index.php on line 28

Zinošs ļaundaris (it sevišķi, ja viņš zina kaut ko vairāk par serveri un taviem skriptiem) varētu šos kļūdu paziņojumus izmantot savos nolūkos.

Link to comment
Share on other sites

Un ja nu tas ljaundaris tagad lasa shito forumu, ko? Error reporting es gan nonjeemu, bet tagad studeeju vispaar server lietas un .htaccess, kur maz ko zinu...

 

+

 

Jautaajums:

Ko tu domaaji ar "paarbaudi visus datus, kas naak no klienta puses"?

Edited by Robis
Link to comment
Share on other sites

Ko tu domaaji ar "paarbaudi visus datus, kas naak no klienta puses"?

Piemēram to, ka neliec uzreiz SQL vaicājumā visu, ko tev atsūta klients.

Ja parametram $_POST['a'] bija jābūt skaitlim, tad pārliecinies, ka ievadītais tiešām ir skaitlis. Pārbaudi ievadīto teksta laukumu garumu, vai nav par garu/īsu. Ar teksta laukiem vispār ir ņemtne. Pārbaudi, vai nav savadītas visādas pēdiņas, apostrofi procenti utt.

Link to comment
Share on other sites

hmmm....

Tad man ir taads jautaajums: ko tu domaaji ar "parastajiem lietotaajiem"?

Skripti man droshi vien nav izcili liiki, jo lapa tak darbojas! :) Vari apskatiit to sheit: http://www.btcship.com , tikai luudzu nelauz valjaa :D, bet labaak pasaki, kaa to labaak aizsargaat? Sesijas es neesmu lapaa izmantojis! Vai vajadzeetu?

Jaa un ja es aizsargaaju ar .htaccess kaadu direktoriju, es kaa admins tam tikshu klaat? Es veelos 2 lietas:

1) lai lapu un datubaazi kaads nevareetu sabojaat!

2) lai kaads nevareetu ieskatiities manos skriptos! :)

parastie lietotāji ir visi lietotāji, kas skatās lapu, kam nav paredzētas administratora tiesības.

 

1) skriptos tāpat vien neviens ieskatīties nevar. ja tu neiekļauj ārējus failus, tad ieskatīšanās php failos var būt tikai un vienīgi hostinga pakalpojumu sniedzēja dēļ

 

2) lapu un datubāzi sabojāt var, ja tu darbojies ar nepārbaudītiem lietotāja datiem, izmantojot SQL injekcijas jeb SQL pieprasījumu sabojāšanu vai arī tad, ja hostētājs ir vainīgs.

 

ir viena lieta, ko der iegaumēt - internetā ir pārāk daudz lapas, lai visas nedrošās tiktu uzlauztas ;) Tie, kas māk lauzt - tiem neatliek laika tādām muļķībām, kā lauzt parastas informatīvas mājas lapas, ja vien uzņēmumam nav kādi kaitējoši konkurenti vai kādi citi ienaidnieki, kas ir ar mieru attiecīgiem personāžiem samaksāt.

Link to comment
Share on other sites

×
×
  • Create New...