Сообщений в теме: 15

[ProtoTeeP]

Думаю нужная тема. И так сам вопрос. Какая у вас стоит защита от взлома? Давайте дружно сделаем уникальную функцию).

[T. Anre]

Думаю нужная тема. И так сам вопрос. Какая у вас стоит защита от взлома? Давайте дружно сделаем уникальную функцию).

Защищенность системы равна защищенности самого уязвимого звена. (с)

Тема боян.

[ProtoTeeP]

Вот нам и нужно эти слабые звенья найти... Начнем с обработок гет и пост...

[Mokhito]

Если я знаю, какие данные должны прийти - например, числовое значение, то делаю проверку Регекспом.

Если не знаю, но должно прийти что-то связанное с базой, то делаю mysql_real_escape_string.

Иногда надо просто вставить пришедшие значения обратно в поля - тогда htmlspecialchars и stripslashes. Кстати, когда эксперементировал, то в некоторых случаях обнаружил, что обратные слеши остаются, не все, а только самые стойкие. В итоге пришлось использовать stripslashes два раза подряд, для правильной работы.

[eroha]

числовые данные
можно обрабатывать так
(int)$_GET['var']

зачем рег. выражения трогать

[milkfake]

Основной принцип защиты веб приложений заключается в том, чтобы свести к минимуму прямую свзяку запроса пользователя с запросами данных самого приложения.

А ту часть, которая всеже останется подвергать фильтрам и проверкам.

Ну и конечно не забывать читать бактраки и следить за апдейтами

[Высший Разум]

Кстати у меня вот вопрос насчет безопасности. Или насчет совместимости. Короче разработчики РНР подумали что старый метод передачи данных из форм НТМГ небезопасен и теперь надо переменные писать так: $_POST["$variable"] а не просто $variable. Тут понятно, а вот как быть с массивами? Раньше было просто-$array["index"]. А сейчас?

[Nik8.]

Кстати у меня вот вопрос насчет безопасности. Или насчет совместимости. Короче разработчики РНР подумали что старый метод передачи данных из форм НТМГ небезопасен и теперь надо переменные писать так: $_POST["$variable"] а не просто $variable. Тут понятно, а вот как быть с массивами? Раньше было просто-$array["index"]. А сейчас?

Суперглобальная переменная $_POST тоже является массивом, обратится к вложенному массиву можно посредством $_POST['varname'][индекс];

либо

$array = $_POST['varname'];
var_dump($array);

Можно также включить опцию register_globals в php.ini, или в .htaccess php_value register_globals On для совместимости.

[Высший Разум]

пасиб. А вот насчет - register_globals-это неуверен. В плане безопасности, а в следующих версиях РНР вообще хотят убрать это.

[eroha]

register_globals
опасная вещь
лучше ее вообще не использовать

[2lc]

register_globals
опасная вещь
лучше ее вообще не использовать

Полностью согласен.
Хотя, если руки кривые, то и отключение register_globals не поможет!

[NetWork]

числовые данные
можно обрабатывать так
(int)$_GET['var']

зачем рег. выражения трогать

INT использовать не правильно. Лучше так.

is_numeric($_GET['var']);

[Nik8.]

INT использовать не правильно

Обосновать сие бредовое заявление можете?

[T. Anre]

числовые данные
можно обрабатывать так
(int)$_GET['var']

зачем рег. выражения трогать

INT использовать не правильно. Лучше так.

is_numeric($_GET['var']);

Так для справки, is_numeric возвращает bool

[Misher]

Против взлома БД, стараюсь использовать ORM библиотеки, пусть их разработчки пишут всякие эскейпы.

[NetWork]

Против взлома БД, стараюсь использовать ORM библиотеки, пусть их разработчки пишут всякие эскейпы.

Только такого взлома как БД нету. Есть взломы через SQL инъекции. Если вы говорите про них то для защиты на 100% достаточно использовать всего две функции, правда при большом кол-ве запросов нагрузка небольшая, но есть.