Jump to content
php.lv forumi

aizsardziiba lapai!


archux

Recommended Posts

Hmm, tas nozīmē ka tagad pie katras vietas kur pievienot komentāru, jāuzliek tā lai nemaz nedomā neko nokopēt! ā un vēl jautājums kā uzlikt lielāku aizsardzību uz failiem, piemēram ar flešpayeri ir dziesma atverama, bet vajag tā, lai nevar notielēt, kas par faila nosaukumu un, lai to nebūtu iespējams lejuplādēt!

 

+ jautājums

 

Vai arīt atkarīga lapas drošība uz kāda servera stāv lapa (linux/win)???

Edited by archux
Link to comment
Share on other sites

hmm, taa tads nozīme to, drosāk būs pirmkārt nomainīt serveri, un otrkārt includes un vēl šādus tādus failus salikt ārpus www (root) direktorijas, lai tie būtu daudzkārtīgāk pasargāti!

 

Vai sapratu pareizi???

Link to comment
Share on other sites

Man arī ir kāds jautājums par šo tēmu! Vai ir iespējams kaut kādi apiet JavaScript ? Nu piemēram ir lapa, kur reģistrēties un es ar JavaScript pārbaudu, lai lauciņu vērtības nesaturētu nekādus "nelāgus" simbolus, tad tas ir viss un tālāk šīs vērtības varu nepārbaudīt izvadot vai tomēr šo Java Script var apiet?

Edited by DMG
Link to comment
Share on other sites

if(isset($_GET['lapa'])) include($_GET['lapa'].'.php');

Nu johaidi, ko tadu jau nu domadams nesadomasi:)

Bet nu ja, visu parbaudi servera puse php noteikti. Javascript ir klienta puse,to var elementari apjat apskatot source.

Ja var lietot integer, dari to, vieglak kontrolet.

Vispar jebkurus lietotaja ievaditus datu ir japarbauda obligati.

Faila liekas ka ir ok, bet nav problema sataisit post formu ar ko iesutit visu apejot visadas javascript kontroles.

Link to comment
Share on other sites

Dažas lietas "in no particular order".

* Datu filtrācija klienta pusē ir tikai un vienīgi klienta ērtībai un interfeisa izveidošanai. Reālā pārbaude obligāti jāveic servera pusē.

* Vienmēr izstrādes laikā darbojies ar error_reporting(E_ALL).

* Centies padošanai izmantot veselus skaitļus, jo tos visvienkāršāk ir pārbaudīt.

* Nekad nepadod no klienta iekļaujamos dokumentus

šitā nē:

$lapa = $_GET['lapa'];
include($lapa);

šitā jā:

$lapa = $_GET['lapa'];
switch $lapa {
case 'ievads': include('ievads.php'); break;
case 'izvads': include('izvads.php'); break;
default: include('notfound.php');
}

* Ja izmanto sesijas, tad vienmēr lietotājam mainot statusu (ielogojoties, izlogojoties, ieejot augstākā/zemākā privilēģijā, izejot no augstākas/zemākas privilēģijas) pārģenerē sesijas identifikatoru.

* Stingri seko līdzi, kādi parametri var tikt padoti konkrētajai lapai un pārtrauc izpildi, ja tiek padoti nekorekti dati. Necenties attīrīt tādus datus, kuriem nav jābūt netīriem pēc būtības (piemēram, tev padod nevis ciparisku lapas id, bet gan kaut kādu burtu kombināciju ar skaitli priekšā.)

* datu saņemšanai izmanto tikai $_GET, $_POST, $_REQUEST masīvus. Nekad neizmanto register globals.

* ja vajag tikai nolasīt no datubāzes, tad izmanto tādu lietotāju, kam ir tiesības tikai lasīt. Ja ir iespēja, tad veido procedūras datubāzē datu iegūšanai un nedarbojies pa tiešo ar tabulām bet, kur iespēja tikai ar skatiem (view).

* noskaidro cik viegli/grūti ir tikt pie taviem php failiem no blakus projekta.

 

Un vēl ļoti daudz un dikti.

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Loading...
×
×
  • Create New...