Írj egy biztonságos kódot a php -ra
Első szabály: soha ne bízz a felhasználókban
Ez a szabály többször is hangzott a webhelyem oldalain, de mégis a legfontosabb, és egyre többet fog mondani! Soha ne bízz a felhasználók által küldött adatokban. Eltekintve attól, hogy a rést a biztonsági alkalmazások kihasználva, a probléma akkor is előfordulhat, mert a véletlen felhasználói viselkedés.
Így bármelyik webfejlesztő fő szabálya: Soha ne bízz a felhasználókban.
Globális változók
Ezt elkerülheti az opció letiltásával. Szerencsére számos házigazdán alapértelmezés szerint letiltották. Ha azonban továbbra is globális változókat kell használni, előzetesen be kell jelentened az ilyen fontos változókat:
Hibaüzenetek
A hibaüzenetek hasznosak a webes alkalmazások hibakeresésénél. A fejlesztőknek szükségük van a hibák kijavítására, és a hackerek használhatják őket különböző információk beszerzésére, például a program struktúrájára, az adatbázis-kiszolgáló verzióira. Ezért az alkalmazások hibakeresése és a webhely futtatása után ki kell kapcsolnia a hibaüzeneteket. A .htaccess vagy php.ini fájlban be kell állítania a "error_reporting 0" értéket.
SQL injekciók
A PHP nyelv egyik erőssége az egyszerű és gyors interakció az adatbázisokkal, elsősorban a MySQL-rel. Most a helyek többsége PHP + MySQL-ba épül.
Azonban a várakozások szerint ez a webes alkalmazások esetleges biztonsági problémáit eredményezte. A leggyakoribb sebezhetőség az SQL injektálás - az SQL-lekérdezések jogosulatlan végrehajtása az adatbázisba.
Részletesebben az SQL injektálásról és a védelemről az SQL injekciókról szóló cikkből írtam.
Fájlok manipulálása
Alapértelmezett beállítások
előreláthatóság
Végül ellenőrizze, hogy a bejelentkezési hibaüzenetek nem tartalmaznak-e további információkat a támadónak. Ha például az "Ismeretlen felhasználó" hibát jeleníti meg, akkor a támadó könnyen kitalálhatja, hogy felvette a szükséges bejelentkezést, amikor nem látja ezt a hibát.