Ну как хотите. Если ссылку дадите - смотреть не буду т.к. деньги на инете всётаки не казённые, к тому же с исходниками намного проще. Рас исходники давать боитесь то сделайте следующее:
1. Слейте XSpider и просканьте свой сайт (желательно на локалхосте -паук трафик не хилый генерит) с профилем HTTPcontent (там подписано что для разработчиков профиль). Если он покажет Вам серьёзные уязвимости(XSS тоже к ним причисляйте) то вперёд искать. Если паук молчит то значит от большинства маленьких хакерят Вы себя оградили.
2. Каждый передаваемый параметры пропускайте например через такое регулярное выражение:
$param=ereg_replace("[^a-zA-Z0-9]","",$param);
тут в $param заменяются на пустоту все символы кроме маленьких и заглавных букв и цифр(тоесть кавычки, слэши, запятые и т.д.).
3. Фильтруйте опасные символы во всех кукисах(если имеются)
4. Если проводите какие то операции с реферером, IP или USER_AGENT то их тоже обязательно фильтруйте. А IP вообще лучше получать через REMOTE_ADDR т.к. client_ip и x_forwarded_for подделываются так же легко как referer и user_agent.
5. Если ставите какие-то публичные скрипты(форум/голосование и т.д.)
то проверьте на сайте девелоперов последняя ли у Вас версия.
|