Ответов: 19 Просмотров: 17896
|
Доброго всем дня!
Прочитал на днях статьюПриемы безопасного программирования на PHP, оч полезная инфа для меня оказалась.
Пишу свой двиган уж пол года, и ни как не мог понять как лучше всего написать авторизацию, видел много вариантов, и сесии использовали люди и "печеньки", но так же находил статьи на ХАК-сайтах как это всё обходилось кралось и проще говоря взламывалось.
Первое что меня порадовало это :
Цитата:Пользователь при каждом запросе, помимо другой информации (сообщение в чате, или список сообщений в гостевой книге), отправляет серверу свой uid. При этом в документе с формами ввода будет присутствовать, наряду с другими формами, тег вида:
<input type=hidden name=uid value=1234567890>
, ведь даже если злоумышленник посмотрит иходный сгенерированный текст в браузере, то он увидит число которое подобрать нельзя, потомучто оно с каждым новым заходом на сайт, меняеца!!!
Минусы статьи тоже есть!!!
Я обычно при авторизации использую "escape_string", так как одного не достаточно есть ещё
" ' " и " " " спец символы. Много статей про Инъекции
в Интернете есть!!!
Функция экранирует все спец-символы (у меня она не расписана а в простом варианте):
Реализовываеца просто:
А так же советую всем тестить скрипты с дерективой ,
а пользоваться ими с "display_errors=Off" и на всех функциях ставить значок "@"(это значит что если в функции какая либо ошибка она её не покажет на экране)
злоумышленник не увидит пути к файлам в которых есть ошибка!!!!
Ох да совсем забыл, про запросы в БД на помнить!!! Если вы ищите что то конкретно в большой таблице то лучше всего использовать в запросах LIMIT 1, так как можно сформировать запрос с функцией BECHMARK
Ну вот вроде пока ВСЁ!!! |