| |
Še enkrat živjo, družba!
Imam še eno vprašanje: na kaj vse moram biti pozoren pri varnosti web appa, ki ga programiram? SQL injection je ena stvar, to sem pokril s prepared statements in mysql_real_escape_string, kakšna so še vaša priporočila, nasveti, kakšen link na to temo, morda izkušnje s tega področja ...
[Edit: še to, pišem iz nule brez frameworkov. Bi bilo bolje, če bi se lotil s Codeigniterjem ali Laravelom?]
Na splošno sem si zamislil tole temo kot debato na temo varnosti, tako da kakšen konstruktiven komentar zelo dobrodošel. Sam s tega področja nimam izkušenj, se mi pa zdi vprašanje zanimivo in predvsem pomembno.
Lep pozdrav,
Odin!
spremenjeno: Odin (4.11.2015, 19:47)
|
| |
| |
SQL Injection je res najbolj pogosto uporabljen način za vdore v spletn strani.
Naslednja najbolj pogosta stvar po mojem mnenju je upload datotek. Recimo na strani imaš narejeno za upload slik in ti nekdo preko tega naloži PHP skripto, ki jo potem lahko pokliče preko brskalnika.
Ali bodo na tej tvoji strani tudi uporabniška imena in gesla, ker pri upravljanju teh se tudi lahko naredi kakšno napako?
Drugače pa sam osebno ne maram frameworkow, ker se danes relativno hitro spreminjajo. Tudi če misliš, da se bo razvijal še dolgo, bo prej ali slej prišlo ven nekaj bolj popularnega. Ti pa se znajdeš v situaciji, ko imaš vso kodo napisano v frameworku, ki ni več vzdrževan, kar za sabo prinese kar nekaj problemov.
|
| |
| |
Torej če sem prav razumel, je ključno zaščititi vsa vnosna polja. So še kakšne druge pasti morda?
Offtopic: podtalje, si tudi zmago pisal "na roke"?
|
| |
| |
Direktorij kjer imaš datoteke za prikaz na strani (slike, videje, zvok,...) pa tudi ključe za kakšne web API-je (npr amazon S3) imej shranjene v direktoriju, ki ni dostopen preko url naslova. Torej nekje zunaj www direktorija.
|
| |
| |
Ja, zmaga je napisana "na roke".
Drugače pa poleg vnosnih polj je treba paziti tudi pri povezavah, ki se odpirajo in v naslovu za imenom datoteke uporabljajo GET parametre, kot npr. id in podobne zadeve. Podobno velja tudi za POST.
|
| |
Prikazujem 1 od skupno 1 strani |
|
