Comments on: Как защитить свой web ресурс. Примеры безопасных PHP скриптов. http://www.simplecoding.org/kak-zashhitit-svoj-web-resurs.html Блог о программировании Tue, 07 Oct 2008 12:44:53 +0000 By: ЮАР http://www.simplecoding.org/kak-zashhitit-svoj-web-resurs.html#comment-271 ЮАР Mon, 04 Feb 2008 15:26:11 +0000 http://www.simplecoding.org/kak-zashhitit-svoj-web-resurs.html#comment-271 Спасибо за информыцию, как раз искал. Спасибо за информыцию, как раз искал.

]]> By: Владимир http://www.simplecoding.org/kak-zashhitit-svoj-web-resurs.html#comment-266 Владимир Sat, 02 Feb 2008 08:25:40 +0000 http://www.simplecoding.org/kak-zashhitit-svoj-web-resurs.html#comment-266 Отвечаю по-порядку. <blockquote>Не рассмотрены ситуации с запросами вида index.php?open=http://anothersite.com/xss.php</blockquote> Сначала нужно решить разрешать такие ссылки или нет. Если нет, то можно проверять наличие "?" и выводить сообщение об ошибке или еще что-нибудь... <blockquote>проверка типов заливаемых файлов</blockquote> На эту тему я собирался написать небольшую статью :-) В CI есть библиотек upload. При создании загрузчика можно указать разрешенные типы файлов, ограничения по размеру и т.п. Например, $config['allowed_types'] = 'gif|jpg|png'; $this->load->library('upload', $config); Я пользовался, очень удобно. <blockquote>использование простых паролей</blockquote> О "человеческом факторе" я написал (самый конец статьи). <blockquote>не действие, а процесс</blockquote> Спорить сложно :-) Отвечаю по-порядку.

Не рассмотрены ситуации с запросами вида
index.php?open=http://anothersite.com/xss.php

Сначала нужно решить разрешать такие ссылки или нет. Если нет, то можно проверять наличие "?" и выводить сообщение об ошибке или еще что-нибудь…

проверка типов заливаемых файлов

На эту тему я собирался написать небольшую статью :-)
В CI есть библиотек upload.
При создании загрузчика можно указать разрешенные типы файлов, ограничения по размеру и т.п.
Например,
$config['allowed_types'] = 'gif|jpg|png';
$this->load->library('upload', $config);
Я пользовался, очень удобно.

использование простых паролей

О "человеческом факторе" я написал (самый конец статьи).

не действие, а процесс

Спорить сложно :-)

]]> By: Scratch http://www.simplecoding.org/kak-zashhitit-svoj-web-resurs.html#comment-265 Scratch Fri, 01 Feb 2008 15:18:56 +0000 http://www.simplecoding.org/kak-zashhitit-svoj-web-resurs.html#comment-265 Хм... Не рассмотрены ситуации с запросами вида index.php?open=http://anothersite.com/xss.php (открытие внешних источников), и запросами вида index.php?open=../../config.php (открытие локальных файлов) а также ничего не сказано, например, про проверку типов заливаемых файлов (я заливаю как аватарку php файл, а потом вызываю что-то вида http://victim.org/project/images/users/112233abcd.php). При неправильной настройке сервера тоже работает :) Сам сталкивался. Далее, забыты такие вещи как, например, использование простых паролей для администраторского входа (очень много взломов админки -- из-за использований стандартного "admin/admin"). И забыто самое главное. Защита сайта (и вообще ИБ) -- это не действие, а процесс. :) Хм… Не рассмотрены ситуации с запросами вида
index.php?open=http://anothersite.com/xss.php
(открытие внешних источников),
и запросами вида
index.php?open=../../config.php (открытие локальных файлов)

а также ничего не сказано, например, про проверку типов заливаемых файлов (я заливаю как аватарку php файл, а потом вызываю что-то вида http://victim.org/project/images/users/112233abcd.php). При неправильной настройке сервера тоже работает :) Сам сталкивался.

Далее, забыты такие вещи как, например, использование простых паролей для администраторского входа (очень много взломов админки — из-за использований стандартного "admin/admin").

И забыто самое главное.
Защита сайта (и вообще ИБ) — это не действие, а процесс. :)

]]> By: Владимир http://www.simplecoding.org/kak-zashhitit-svoj-web-resurs.html#comment-262 Владимир Fri, 01 Feb 2008 14:17:38 +0000 http://www.simplecoding.org/kak-zashhitit-svoj-web-resurs.html#comment-262 Согласен. Но я бы сказал не говорил "правильнее", т.к. второй параметр (TRUE) пропускает данные через встроенный XSS фильтр. Если вы используете библиотеку вроде HTML Purifier, то в двойной проверке особенного смысла нет. С другой стороны, $this->input->post( ‘username’ ); возвращает FALSE если параметр ‘username’ не установлен, а это удобно. Согласен. Но я бы сказал не говорил "правильнее", т.к. второй параметр (TRUE) пропускает данные через встроенный XSS фильтр.
Если вы используете библиотеку вроде HTML Purifier, то в двойной проверке особенного смысла нет.

С другой стороны,
$this->input->post( ‘username’ );
возвращает FALSE если параметр ‘username’ не установлен, а это удобно.

]]> By: MpaK http://www.simplecoding.org/kak-zashhitit-svoj-web-resurs.html#comment-258 MpaK Fri, 01 Feb 2008 09:59:26 +0000 http://www.simplecoding.org/kak-zashhitit-svoj-web-resurs.html#comment-258 в CodeIgniter правильнее еще брать параметры не пост, а например $this->input->post( 'username', TRUE ); в CodeIgniter правильнее еще брать параметры не пост, а например

$this->input->post( 'username', TRUE );

]]>