הוסטס - פורום אחסון האתרים הגדול בישראל

הוסטס - פורום אחסון האתרים הגדול בישראל (https://hosts.co.il/forums/index.php)
-   פורום תיכנות (https://hosts.co.il/forums/forumdisplay.php?f=14)
-   -   עזרה = איך מתגוננים מפני הזרקות ומפני אקספלוטים (https://hosts.co.il/forums/showthread.php?t=64068)

stel222 13-06-08 13:51
עזרה = איך מתגוננים מפני הזרקות ומפני אקספלוטים
 
בכל הטפסים אני עושה את הפונקציה mysql_real_escape_string ובחיבור למסד אני עושה ע"י משתנים מה אני עוד יכול לעשות על מנת לאבטח נגד ההזרקות
ומה עושים נגד אקספלויטים ?

daMn 13-06-08 13:58
אין פקודת קסם שתעשה אותה ותמנע הזרקות ואקספלויטים.
אבטחת מידע זה תחום מסובך ומורכב, יש הזרקות ואקפלויסטים בהרבה מאוד דרכים, כמו שיש אינסוף שיטות התקפה על שרת.
מה שכן, תחפש בגוגל מאמרים של אבטחת מידע בPHP בסיסיים.
הנה אחד נחמד:
http://www.underwar.co.il/document-details.asp?id=264

stel222 13-06-08 13:59
תודה אבל המאמאר הזה מלמדים איך לפרוץ ולא איך להתגונן

Ron | CSite.co.il 13-06-08 14:15
ציטוט:
נכתב במקור על ידי stel222 (פרסם 641542)
תודה אבל המאמאר הזה מלמדים איך לפרוץ ולא איך להתגונן
הדרך הטובה ביותר לדעת להתגונן - היא לדעת איך לפרוץ.
הרי שאתה יודע איך לפרוץ אתה גם מבין איך חוסמים את זה.

אגב,
בכל פלט מהמשתמש תמיד תבדוק אם קיבלת בדיוק מה שרצית,
לדוגמא:
רצית לקבל מספר חיובי כלשהו (בשדה טקסט),תבדוק שזה בדיוק מה שקיבלת,
רצית לקבל בתיבת בחירה את הערכים 1-5 ,תבדוק שקיבלת אותם,אל תסתמך על כך שבתיבת select ניתן לבחור רק 1-5,כי ניתן לשלוח טופס html משרת מרוחק אל השרת שלך(כלומר להפנות אותו אל הדף שלך).

mlnn 13-06-08 14:45
קודם כל, אקספלוייט זאת לא "דרך פריצה" אלא פשוט קוד שמקצר את העבודה הידנית בניצול חור אבטחה כלשהו. אז אתה לא מתגונן "נגד אקספלוייטים".

בקשר למערכת, תוודא שמה שאתה מקבל זה מה שאתה מצפה לקבל, ואם לא, תחזיר שגיאה. אם תכסה את כל האפשרויות המערכת שלך מוגנת.
בשביל לאבטח את השרת אתה צריך גישה לשרת. ותסתובב בפורומים של הדברים שרצים לך על השרת ותסתכל בבאגים נפוצים והדרכים לתיקון, בטוח יש שם אשכולות עם המלצות לאבטחה יותר טובה.

Daniel 13-06-08 15:42
יש לי 12 שורות במערכת שמסכמות את כל האבטחה נגד SQL INECTIONS.

יש לי עוד קובץ של 40K שמסכם לי את כל האבטחה בטפסים,

ובאמת שאם מישהו יכניס לי ב-ID שלו כאשר יחפש נושא כלשהו, אות - אני גם לא אציג לו הודעת שגיאה - ואפילו לא אבדוק אם זה רק מספרים. למה? כי שיכניס אותיות - זה לא ימצא לו תוצאות.

אני עובד על error_reporting של E_ALL, ואין שום שגיאה!


אם תבנה מההתחלה נכון(ו-OOP יארגן לך את הקוד יותר), לא רק פחות שורות של קוד, ולא רק יותר יעילות ולא רק יותר אבטחה - אלא גם לך - יהיה יותר קל לתכנת.


כל הזמנים הם GMT +2. הזמן כעת הוא 09:44.

מופעל באמצעות VBulletin גרסה 3.8.6
כל הזכויות שמורות ©
כל הזכויות שמורות לסולל יבוא ורשתות (1997) בע"מ