Безопасность скриптов, защита от инъекций, XSS (php, sql)

Уроки по PHP, Javascript и т.п.

Безопасность скриптов, защита от инъекций, XSS (php, sql)

Сообщение Александр » 20 окт 2013, 13:50

Не урок, но очень полезная заметка для начинающих. Может быть когда-нибудь дополню информацией.
Тему создал для того чтобы ссылаться на неё из других тем.
Когда писал уроки, думал не перенагружать их лишними проверками, но на деле мало кто из начинающих задумывается о безопасности и просто "лепит" что попало.

Важное правило: Проверяйте все данные, которые получаете от пользователя (_GET, _POST, _COOKIE, _SERVER и т.п.).

Ожидаете получить число - приводите к числовому типу (int).
Ожидаете получить строку и использовать её в sql-запросе - проверяйте, что строка не повлияет на запрос. Экранируйте кавычки, заменяйте спецсимволы и т.п.
Если выводите данные полученные от пользователя - убедитесь, что это не повлияет на верстку, экранируйте кавычки, заменяйте спецсимволы и т.п.
Думайте головой, пользователь может передать вашему скрипту совсем не то, что вы ожидаете.

Если вы не хотите чтобы ваш код был взломан, то гуглите и изучайте темы "безопасность php", "безопасность sql", "php sql инъекция", "php sql уезвимость", "xss" и т.п. Вместо php и sql подставляйте язык, на котором вы программируете.

Тема безопасности требует отдельного изучения. Информации в интернете полно.

Если кто-то хочет дополнить тему советами, то пишите прямо здесь.
Аватара пользователя
Александр
Создатель сайта
Создатель сайта
 
Автор темы
Сообщения: 4574
Зарегистрирован: 27 сен 2009, 16:45
Откуда: Санкт-Петербург
Благодарил (а): 126 раз.
Поблагодарили: 771 раз.

Чтобы убрать блок с рекламой, зарегистрируйтесь на форуме или войдите.

Google
 



Re: Безопасность скриптов, защита от инъекций, XSS (php, sql)

Сообщение cibersant » 20 окт 2013, 17:49

А вообще пользуйтесь фрэймворками.
cibersant

 
Сообщения: 199
Зарегистрирован: 23 окт 2011, 18:34
Благодарил (а): 3 раз.
Поблагодарили: 5 раз.

Re: Безопасность скриптов, защита от инъекций, XSS (php, sql)

Сообщение Serge » 20 окт 2013, 18:53

cibersant
залейте 30 мб на сервер и уменьшите производительность.

На работе есть своя CMS, написанная на чистом php + Smarty (шаблонизатор) без фреймворков. И всё равно стоит вопрос - а можно проще? Зачем лишний раз нагружать систему?
http://sevenlines.com.ua - разработка и продвижение сайтов
Serge
WEB Team
WEB Team
 
Сообщения: 520
Зарегистрирован: 04 мар 2011, 21:55
Благодарил (а): 2 раз.
Поблагодарили: 65 раз.

Re: Безопасность скриптов, защита от инъекций, XSS (php, sql)

Сообщение Полный ноль » 30 янв 2015, 09:52

http://www.phpfaq.ru/slashes - Про безопасность тут читал, может кому пригодится.
Полный ноль

 
Сообщения: 2
Зарегистрирован: 20 янв 2015, 10:08
Благодарил (а): 0 раз.
Поблагодарили: 0 раз.


Вернуться в Уроки на другие темы



Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 1