אבטחה של מערכת תוכן
 

היי חברים, רציתי לדעת אילו "אבטחות" אני צריך לאבטח את מערכת התוכן שאני בונה כדי שתהיה מאובטחת יחסית.

לפיכך, דבר ראשון - חסימה של תווי HTML וכן הלאה מתיבות טקסט, דבר שני - סיסמאות מוצפנות ואבטחה של GET באיזורים כמו "שחזור סיסמה".

אשמח לשמוע על עוד.
תודה ויום טוב.

להצפין סיסמאות של משתמשים (במידה ומדובר על משתמשים שכלולים באתר)...

למנוע התקפות SQL...

להגביל את המשתמש בנתונים מסויימים...

לבדוק כל צעד של המשתמש שהוא לא חריג במקרה...וכו'..

לבדוק שאין חור אבטחה ששולחים לך POST מדף במחשב.

htmlspecialchars
mysql_real_escape_string

ואם התוכן שאמור להכנס לעמוד לדוגמא page?id=5
אז לבדוק ש ID הוא באמת מספר בעזרת is_numeric

ממ זה בעיקרון מה שאני ושה

קצת חשיבה הגיונית, ותקבל מערכת מאובטחת היטב, בכל מקום אשר אתה רואה שלמשתמש יש אפשרות להציב קלט כלשהו, בין אם זה תיבת טקסט, כתובת, וכו', זה מה שעליך לאבטח, אבל כמובן שבמידה ואת משתמש גם בעוגיות, הרי כל בן אדם עם טיפת ידע יכול לשנות את העוגייה בקלות מן מחשבו האישי, ולדוגמא להחליף משתמש באתר, בגלל זה עליך להציב לדוגמא שני עוגיות, אחת שתכיל את הסיסמא, השנייה את שם המשתמש, ואז לבצע התאמה בינהם בPHP.

פונקציות שימושיות:

http://php.net/mysql_real_escape_string
http://php.net/htmlspecialchars
http://php.net/stripslashes

בהצלחה :]

מה סלאשים יכולים לעשות? :\

כל מה שצריך זה למנוע XSS, יש פונקציה בשם htmlspecialchars =]

אין שום סיבה לשמור 2 עוגיות, אחת למס' \ שם משתמש והשנייה לסיסמה

אני אישית לא שומר שום דבר שקשור לסיסמה (גם אחרי 5 הצפנות) בקוקי, תאמין לי שכל הצפנה אפשר לשבור (אם זה MD5, SHA1, וכו').

רגע ואם הוא עורך שתי עוגיות במקום אחת זה משנה לו משהו? די כבר עם הפתרונות האלו בשקל. גם עוגייה אחת יכולה לעשות את העבודה ואפילו מעל המצופה. לא צריך סתם לכתוב עוד עוגייה.