Форум программистов, компьютерный форум, киберфорум
PHP
Войти
Регистрация
Восстановить пароль
 
Рейтинг 4.60/5: Рейтинг темы: голосов - 5, средняя оценка - 4.60
61 / 61 / 11
Регистрация: 19.09.2009
Сообщений: 844
1

Методы защиты

30.06.2010, 13:07. Просмотров 909. Ответов 8
Метки нет (Все метки)

Интересуют методы защиты сайта такие как:

1) защита открытого ГЕТ запроса в базу например http://site.ru/news.php?id=10
тоесть защитить базу от инъекций
2) Защита при вводе логина и паса, видел видео что прописывают непонятную шнягу в форму логина и пароля и получают хешированый пароль...
3) какие еще методы безопасности можно применить, что бы сайт был защитоспособным ко взлому.
4) Еще вопрос насколько безопасно использовать куки?
0
Programming
Эксперт
94731 / 64177 / 26122
Регистрация: 12.04.2006
Сообщений: 116,782
30.06.2010, 13:07
Ответы с готовыми решениями:

система защиты файлов
Добрый день всем ))) хочу вас попросить о помощи ) нужна система защиты по статусу то есть ...

Логин на сайт, обход защиты.
Добрый день. У меня такая ситуация. есть сайт pegast(dot)com(dot)ua Задача: залогинится, взять...

Функции защиты кода в Php
Привет! Столкнулся у себя с такой проблемой. Сделал комментарии на сайте, однако поставленная мной...

Способы защиты голосования от накрутки
Есть проект. Там идет голосование. Как можно защититься от накруток, какими способами? Если...

8
701 / 572 / 59
Регистрация: 18.11.2008
Сообщений: 2,147
30.06.2010, 13:28 2
Цитата Сообщение от nepster Посмотреть сообщение
1) защита открытого ГЕТ запроса в базу например http://site.ru/news.php?id=10
PHP
1
$query = 'SELECT ... ' . (int)$_GET['id'] . ' ... ';
Цитата Сообщение от nepster Посмотреть сообщение
2) Защита при вводе логина и паса, видел видео что прописывают непонятную шнягу в форму логина и пароля и получают хешированый пароль...
PHP
1
$query = 'SELECT ... ' . mysql_real_escape_string($_POST['login']) . ' ... ';
Цитата Сообщение от nepster Посмотреть сообщение
4) Еще вопрос насколько безопасно использовать куки?
смотря че ты в них хранишь. если там ниче секретного нет (например, логин || пароль) то ниче страшного в этих куках нет. но че бы не хранилось в куках все равно надо предотвращать их кражу через XSS (один из видов взлома)
1
97 / 97 / 17
Регистрация: 18.10.2009
Сообщений: 453
30.06.2010, 13:46 3
Цитата Сообщение от nepster Посмотреть сообщение
2) Защита при вводе логина и паса, видел видео что прописывают непонятную шнягу в форму логина и пароля и получают хешированый пароль...
Проверяй, регулярными выражениями, всё, 4то приходит с формы...
1
61 / 61 / 11
Регистрация: 19.09.2009
Сообщений: 844
30.06.2010, 16:15  [ТС] 4
PHP
1
$query = 'SELECT ... ' . (int)$_GET['id'] . ' ... ';
=) идея хорошая, но id не всегда число, например id может быть = news, comm, users и др.

Можно ли просто например ограничить кол-во символов?
0
701 / 572 / 59
Регистрация: 18.11.2008
Сообщений: 2,147
30.06.2010, 16:21 5
PHP
1
substr($_GET['id'], 0, 5);
1
61 / 61 / 11
Регистрация: 19.09.2009
Сообщений: 844
30.06.2010, 16:39  [ТС] 6
этого будет достаточно для безопасности?
0
701 / 572 / 59
Регистрация: 18.11.2008
Сообщений: 2,147
30.06.2010, 17:09 7
Цитата Сообщение от nepster Посмотреть сообщение
этого будет достаточно для безопасности?
не думаю
лучше, например, юзать mysql_real_escape_string()
либо, как говорил Pafos, проверять регулярками - решение надежное, но к сожалению не такое быстрое

Добавлено через 6 минут
Цитата Сообщение от nepster Посмотреть сообщение
id может быть = news, comm, users и др.
если этот список постоянный и динамически не изменяется, то как альтернативное решение:
PHP
1
2
3
4
5
if ( in_array($_GET['id'], array ('news', 'comm', 'users')) ) {
  $query = 'SELECT ... ' . $_GET['id'] . ' ... ';
} else {
 // редиректим на страницу с ошибкой, что такого раздела не существует (либо еще куда-нибудь редирект делаем)
}
плюс тут в том, что если параметр id введен неправильно, то никакого запроса к базе не будет
следовательно sql-инъекция отменяется и еще немного ускоряется работа т.к. не надо будет искать несуществующую запись
2
13186 / 6573 / 1040
Регистрация: 10.01.2008
Сообщений: 15,069
30.06.2010, 17:23 8
Цитата Сообщение от GаlаX Посмотреть сообщение
PHP
1
if ( in_array($_GET['id'], array ('news', 'comm', 'users')) ) {
Так быстрее :
PHP
1
2
3
4
5
6
$Foo = array(
    'news' => 1,
    'comm' => 1,
    'users' => 1,
);
if (isset($Foo[$_GET['id']])) {
2
61 / 61 / 11
Регистрация: 19.09.2009
Сообщений: 844
30.06.2010, 17:52  [ТС] 9
спасибо, буду фильтровать )
0
IT_Exp
Эксперт
87844 / 49110 / 22898
Регистрация: 17.06.2006
Сообщений: 92,604
30.06.2010, 17:52

Заказываю контрольные, курсовые, дипломные и любые другие студенческие работы здесь.

Поиск технологии защиты информации
Всем привет! Сразу к делу: Немного абстрактно расскажу. Есть платное API, к которому наш сервер...

Смысл защиты c помощью mysql_real_escape_string
Есть ли вообще какойто смысл добавлять mysql_real_escape_string, если: 1. Вот один из случаев:...

скрипт защиты файла паролем
Вот скрипт защиты файла паролем <?php include("blocks/bd.php"); if (!isset($_SERVER)) {...

Метод защиты от SQL инъекции
Вот придумал метод защиты от SQL инъекции скажите надежен ли он: Перед занесением информации в БД...

Возможности защиты страницы от скачивания ее пользователем
Не знаю насколько правильно сформулировал вопрос, но несколько раз встречал страницы, при попытки,...

Библиотеки и методы защиты
Можно ли как-то узнать данные жесткого диска модулем(библиотекой), чтобы в дальнейшем "привязать"...


Искать еще темы с ответами

Или воспользуйтесь поиском по форуму:
9
Ответ Создать тему
Опции темы

КиберФорум - форум программистов, компьютерный форум, программирование
Powered by vBulletin® Version 3.8.9
Copyright ©2000 - 2020, vBulletin Solutions, Inc.