Я смотрю, что сейчас люди едва-едва научившись писать что-нибудь на PHP, сразу бегут писать сайты. Они ничего не понимают в безопасности и не видят крупных дыр в своих проектах.
Между тем дыры находят даже в крупных проектах, поэтому различные специалисты постоянно следят за их безопасностью.
Хочу отметить, что даже форум php.su имеет маленькую пассивную XSS (Межсайтовый скриптинг. Позволяет выполнять произвольный JavaScript сценарий. Используется для дефейса, угона куки и многих других шалостей. Админы, отпишитесь - это я говорю серьёзно).
Так же популярны среди начинающих программистов SQL инъекции (Дают доступ к базе данных) и PHP инъекции (Хакер творит что угодно на Вашем сервере).
Самый простой способ SQL инъекции - поставить вместо логина
Цитата:ff" OR 1=1 OR 1="1
В результате чего хакер сможет войти на сайт как первый пользователь в базе данных.
В PHP есть "Magic Quotes", которая ставит перед кавычкой [\] (Без "[]"), но иногда эта штуковина очень вредна, тем более некоторые инъекции можно провести и без кавычки.
PHP инъекции вообще допускать стыдно, но они широко распространены в Интернете.
Про XSS (Которая есть на PHP.SU) и говорить стыдно...
Начинающий программист, прежде чем писать сайт, почитай литереатуру по взлому.
http://captcha[dot]ru/articles/antihack/
http://ru[dot]wikipedia[dot]org/wiki/XSS
http://ru[dot]wikipedia[dot]org/wiki/SQL[dot][dot][dot]1%86%D0%B8%D1%8F
http://ru[dot]wikipedia[dot]org/wiki/PHP[dot][dot][dot]1%86%D0%B8%D1%8F
http://ru[dot]wikipedia[dot]org/wiki/DoS[dot][dot][dot]0%B0%D0%BA%D0%B0
|