Biztonságos PHP oldal készítésekor mire figyeljek?
Üdv!
Felkértek egy weblap elkészítésére amelyről már most tudni lehet, h emberek még fizetni is fognak azért, hogy feltörjék. A programozási rész biztonságát nekem kell biztosítanom. Nem túl sok szolgáltatással rendelkező oldal, mindössze egy hírlevél, fotóalbum ami úgy más mint a többi, amin csak szöveg és kép van. Mégis kérlek írjátok meg mikre kell figyelnem, minden kis apróságot említsetek kérlek meg akár 1 szóval is, majd ha nem tudom mire gondoltatok akkor visszaírok csak ne haggyatok ki semmit, ami fontos. A hírlevél image verificationt használ, elég bonyi képpel:) includeok létezése ellenőrizve, $_POST, mi az, ami még veszélyes lehet? fórum vagy olyan oldal - a hírlevélen kívül - amin befele mennek adatok NINCS. NAGYON Köszönöm!
Szerver oldali törésről.: Melyik webkiszolgálót ajánljátok amely NAGYON biztonságos és max 10-12 ezer /év (ebben már domain is bennelehetne)
Én az UltraWebre gondoltam. Mit gondoltok erről? Szükség lehet a ip címek tiltásáról ám ha jól tudom uwn nem lehet lekérdezni a ip címeket.
Nagyon köszönöm!
Kis Tivadar
■ Felkértek egy weblap elkészítésére amelyről már most tudni lehet, h emberek még fizetni is fognak azért, hogy feltörjék. A programozási rész biztonságát nekem kell biztosítanom. Nem túl sok szolgáltatással rendelkező oldal, mindössze egy hírlevél, fotóalbum ami úgy más mint a többi, amin csak szöveg és kép van. Mégis kérlek írjátok meg mikre kell figyelnem, minden kis apróságot említsetek kérlek meg akár 1 szóval is, majd ha nem tudom mire gondoltatok akkor visszaírok csak ne haggyatok ki semmit, ami fontos. A hírlevél image verificationt használ, elég bonyi képpel:) includeok létezése ellenőrizve, $_POST, mi az, ami még veszélyes lehet? fórum vagy olyan oldal - a hírlevélen kívül - amin befele mennek adatok NINCS. NAGYON Köszönöm!
Szerver oldali törésről.: Melyik webkiszolgálót ajánljátok amely NAGYON biztonságos és max 10-12 ezer /év (ebben már domain is bennelehetne)
Én az UltraWebre gondoltam. Mit gondoltok erről? Szükség lehet a ip címek tiltásáról ám ha jól tudom uwn nem lehet lekérdezni a ip címeket.
Nagyon köszönöm!
Kis Tivadar
re
üdv t
Link
Ha nincs dinamikus tartalom a lapon, akkor tök könnyü megvédeni :) statikus html, és jó napot :)
Ultraweb?
Én egyébként őket ajánlom:
http://www.frontember.hu
csatlakozom
minden szent... ;)
Munkamenet kezelés biztonsági kérdései
PHP, valamennyire biztonságosabban
Ezek előnye, hogy magyarul vannak, és azért elég széles témakört felölelnek. Ezenkívül érdemes még Chris Shiflett honlapját is nézegetni, meg tudom ajánlani ezt a könyvet is: Pro PHP Security (PDF-ként is megvásárolható).
Felhő
UltraWebet ne?
Melyik szolgáltató?
Nincs ilyen
Normál esetben a biztonságosság foglama két dologtól függ.
- Környezet, amiben a te programod fut
- A te programodtól.
Védekezni is ennek megfelelően kell. Első körben mindenki igyekszik elszeparálni a felhasználók programkódjait egymástól. Ez az alap. Ezt meg lehet oldani sokféle képpen. (open_basedir, Jail, fastcgi). Utánna jönnek azok a lépések, hogy egy ember kódja ne tudja az egész szervert túlhajtani. (memória korlát, futási idő korlát). Ha ezekkel megvagyunk, akkor jön a következő része a történetnek. Amibe a környezet véd téged. Pl az illetéktelen behatolási kisérletektől, a szerver esetleges hibáitól, a téged kiszolgáló programok hibáitól, a mások által használt programoktól.
Ezeket eddig minden valamire való szolgáltatónak meg kell csinálnia, és folyamatosan karban is kell tartania, ha egyáltalán a piacon akar maradni. Ja igen, és ezek mellé nem az "itt most egy év akciósan 4000 HUF" árcimke tartozik. Ha a szerver biztonságos, akkor még mindig ott van a te program kódod, hogy mennyire biztonságos, abból a szempontból, hogy nem lehet illetéktelen módon adatokat megváltoztatni benne, nem lehet illetéktelen módon adatokat kiszedni bellőle. Nem lehet rajta keresztül túl terhelni a szervert.
Ezek után azt mondani, hogy melyik a legbiztonságosabb szolgáltató? Valószinüleg az Akamai rendszere. Más kérdés, hogy nem fogod tudni megfizetni őket.
köszönöm