[php] האם דפים סטטיים יותר מאובטחים? - הוסטס

daMn · 21-09-07, 11:40

אז ככה קראתי קצת על mod_rewrite ועל .htaccess
מה שאני בעצם רוצה לשאול האם שאני הופך דפי php לדוגמא לדפים סטטים עם סיומת של html, המערכת תהיה יותר מאובטחת מבחינת פריצות?
ניקח לדוגמא את Ynet,
הסיומת של כל האתרים שלהם הם סיומות בסגנון הזה

קוד:

0,7340,L-3451956,00.html

אם מישהו ינסה לפרוץ לכזאת כתובת דרך GET זה יקשה עליו? זה יהיה אפשרי לפרוץ?

בקיצור, האם שווה לשנות את המערכת לסגנון הזה אך ורק מבחינת אבטחה בלבד?

psycho · 21-09-07, 11:45

הרי כדי להציג תוכן דינאמי אתה צריך להשתמש במשתנים, אז זה לא דף סטטי
זה סה"כ תצוגה של הדף בצורה מסויימת

אם סקריפט קידי יבוא וינסה לעשות SQL INJECTION הוא בכלל יחשוב שזה לא דף PHP או שפת צד-שרת בכלל

אבל אם יבוא אחד עם קצת יותר שכל, זה לא יהווה מבחינתו שום בעיה.

גיא.

daMn · 21-09-07, 11:46

ציטוט:

נכתב במקור על ידי psycho

הרי כדי להציג תוכן דינאמי אתה צריך להשתמש במשתנים, אז זה לא דף סטטי
זה סה"כ תצוגה של הדף בצורה מסויימת

אם סקריפט קידי יבוא וינסה לעשות SQL INJECTION הוא בכלל יחשוב שזה לא דף PHP או שפת צד-שרת בכלל

אבל אם יבוא אחד עם קצת יותר שכל, זה לא יהווה מבחינתו שום בעיה.

גיא.

אז בעצם אין שום סיבה לשנות לאתר בסגנון הזה?
אז למה בעצם אתרים גדולים כמו Ynet עושים את זה?

meshuga · 21-09-07, 12:01

ציטוט:

נכתב במקור על ידי psycho

הרי כדי להציג תוכן דינאמי אתה צריך להשתמש במשתנים, אז זה לא דף סטטי
זה סה"כ תצוגה של הדף בצורה מסויימת

אם סקריפט קידי יבוא וינסה לעשות SQL INJECTION הוא בכלל יחשוב שזה לא דף PHP או שפת צד-שרת בכלל

אבל אם יבוא אחד עם קצת יותר שכל, זה לא יהווה מבחינתו שום בעיה.

גיא.

נכון.
אבל אני עוד יחדד....כשאתה עושה את זה, אז לא יודעים את הנתיב/הקובץ האמיתי וכשעושים mod_rewrite אז משתמש בregex ושם אפשר לסנן דברים, למשל...שיהיה אפשר להכניס רק מספרים, רק אותיות רק תוים מסוג X וכו'....לכן זה טיפה יותר מאובטח, כמובן שכל זה לא שווה אם יודעים את הנתיב האמיתי לקובץ ואת המשתנים שאתה מקבל בGET.

למה YNET עושים? אולי בגלל הסיבות שאמרתי, אולי בגלל שזה נראה יותר יפה, אולי בגלל השמועות שGOOGLE מאנדקס יותר טוב דפי HTML מאשר PHP...

O-B · 23-09-07, 13:40

בצורה כזאת אתה גם לא יודע את משתנים שאתה מקבל ב GET..

21-09-07, 11:40	# 1
daMn הוסטסניון מיני פרופיל תאריך הצטרפות: Mar 2007 גיל: 34 הודעות: 2,050	[php] האם דפים סטטיים יותר מאובטחים? אז ככה קראתי קצת על mod_rewrite ועל .htaccess מה שאני בעצם רוצה לשאול האם שאני הופך דפי php לדוגמא לדפים סטטים עם סיומת של html, המערכת תהיה יותר מאובטחת מבחינת פריצות? ניקח לדוגמא את Ynet, הסיומת של כל האתרים שלהם הם סיומות בסגנון הזה קוד: 0,7340,L-3451956,00.html אם מישהו ינסה לפרוץ לכזאת כתובת דרך GET זה יקשה עליו? זה יהיה אפשרי לפרוץ? בקיצור, האם שווה לשנות את המערכת לסגנון הזה אך ורק מבחינת אבטחה בלבד? __________________ "חינוך למדעי המחשב לא יכול להפוך אף אחד למתכנת מומחה יותר מאשר לימוד על מברשות וצבעים יכול להפוך מישהו לצייר מיומן." (אריק ס. ריימונד)

21-09-07, 11:45	# 2
psycho הוסטסניון מיני פרופיל תאריך הצטרפות: Oct 2005 גיל: 35 הודעות: 1,926	הרי כדי להציג תוכן דינאמי אתה צריך להשתמש במשתנים, אז זה לא דף סטטי זה סה"כ תצוגה של הדף בצורה מסויימת אם סקריפט קידי יבוא וינסה לעשות SQL INJECTION הוא בכלל יחשוב שזה לא דף PHP או שפת צד-שרת בכלל אבל אם יבוא אחד עם קצת יותר שכל, זה לא יהווה מבחינתו שום בעיה. גיא. __________________ איחסון אתרים \|\| הולי שיט \|\| אפליקציות לפייסבוק

23-09-07, 13:40	# 5
O-B חבר וותיק מיני פרופיל תאריך הצטרפות: Oct 2005 מיקום: בבית גיל: 36 הודעות: 1,423	בצורה כזאת אתה גם לא יודע את משתנים שאתה מקבל ב GET.. __________________ בברכה עובד, מפתח אתרים.


	ההרשמה לפורום נפתחה - אפשרות רישום לכל אימייל (דומיינים פרטיים, gmail, הוטמייל..)!

חברים פעילים הצופים באשכול זה: 1 (0 חברים ו- 1 אורחים)