BIZTONSÁG mindenek felett
Talán furcsa lehet, hogy nem egy kifejezett problémára keresek választ, hanem egy átfogóbb témát vetek fel, előre elnézést kérek érte:)
Naponta hallunk híreket, hogy "ezt a weblapot", azt a "weblapot" törték fel. Mivel még kezdő vagyok a PHP terén, sok mindent nem tudok(azaz szinte semmit:)), de a legfontosabbnak a biztonságot tartom, nem szeretném, ha egy reggel arra kéne ébrednem, hogy egy 15 éves srác feltörte az oldalamat és mindenféle pedofil képpel pakolta tele, de izgazándiból azt se szeretném, ha egy profi hacker köszöntene a következő üzenettel: "szívességből feltörtem az oldalad, hogy lásd, mennyire nem biztonságos, köszönd meg!". Szívesen venném, és nagyon hálás lennék azoknak a tapasztalt programozóknak, akik megosztanák a trükkjeiket, amikkel az oldalunkat még biztonságosabbá tehetnénk (gondolok itt azokra a dolgokra amikről még nem írtak itt cikket :))
Még1kérdés: használtok-e valamilyen függvényt, hogy naplózzátok az esetleges betörési kísérleteket, gondolok itt arra, hogyha mondjuk különös karakterek jelennek meg egy-egy változóban (PASSWORD, USER mezőkben..)
van-e értelme egy ilyen scriptnek?
function logtofile($text="")
{
$self="";
if(isset($PHP_SELF))
{
$self=$PHP_SELF;
}
if($log=fopen("log.txt","a"))
{
list($m,$t)=explode(" ",microtime());
fwrite($log, date("Y-m-d H:i:s",$t) . substr($m,1)
. " " . $self . " " . $text . "\n");
fclose($log);
}
}
pl.:
if( ereg("speciáliskarakter",$_POST["USERNAME"]))
logtofile("gyanús bemenet:"
. $_POST["USERNAME"]
."host: "
.gethostbyaddr($REMOTE_ADDR)
);
■ Naponta hallunk híreket, hogy "ezt a weblapot", azt a "weblapot" törték fel. Mivel még kezdő vagyok a PHP terén, sok mindent nem tudok(azaz szinte semmit:)), de a legfontosabbnak a biztonságot tartom, nem szeretném, ha egy reggel arra kéne ébrednem, hogy egy 15 éves srác feltörte az oldalamat és mindenféle pedofil képpel pakolta tele, de izgazándiból azt se szeretném, ha egy profi hacker köszöntene a következő üzenettel: "szívességből feltörtem az oldalad, hogy lásd, mennyire nem biztonságos, köszönd meg!". Szívesen venném, és nagyon hálás lennék azoknak a tapasztalt programozóknak, akik megosztanák a trükkjeiket, amikkel az oldalunkat még biztonságosabbá tehetnénk (gondolok itt azokra a dolgokra amikről még nem írtak itt cikket :))
Még1kérdés: használtok-e valamilyen függvényt, hogy naplózzátok az esetleges betörési kísérleteket, gondolok itt arra, hogyha mondjuk különös karakterek jelennek meg egy-egy változóban (PASSWORD, USER mezőkben..)
van-e értelme egy ilyen scriptnek?
function logtofile($text="")
{
$self="";
if(isset($PHP_SELF))
{
$self=$PHP_SELF;
}
if($log=fopen("log.txt","a"))
{
list($m,$t)=explode(" ",microtime());
fwrite($log, date("Y-m-d H:i:s",$t) . substr($m,1)
. " " . $self . " " . $text . "\n");
fclose($log);
}
}
pl.:
if( ereg("speciáliskarakter",$_POST["USERNAME"]))
logtofile("gyanús bemenet:"
. $_POST["USERNAME"]
."host: "
.gethostbyaddr($REMOTE_ADDR)
);
A WFSZ biztonsági ajánlásai webfejlesztők számára
http://wfsz.njszt.hu/projektek_biztonsag.php