bezpečnosť webu

Ahojte,
chcel by som sa spýtať tých čo už dlhšie programuju a aj prošku pofesionálnejšie, že ako zabezpečujete bezpečnosť vaších webových stránok, aby odolali útokom.

Ďakujem

Čo najlepšie.

(Na toto existujú hrubé zväzky kníh, takže máš čo študovať. V jednom príspevku ti to ťažko niekto napíše)

a niečo bližšie k tomu. Pretože chcel by som začať programovať profesionálne, len by som chcel vedieť čo treba ošetriť.

Myslím, že ak začneš článkami na soom.cz, tak to bude v pohode

Niečo bližšie k tomu? BX ti napísal, že existujú hrubé zväzky kníh a ty chceš niečo bližšie k tomu? Takýmto prístupom sa z teba profesionál nestane... ani nečakaj, že začneš programovať profesionálne len preto, že si si to práve povedal. K tomu budeš potrebovať veľa štúdia.

Z dobrých kníh môžem spomenúť napr. túto: http://knihy.cpress.cz/zranitelny-kod.html, čítal weby ľudí, ktorí vedia o čom píšu: http://php.vrana.cz/, alebo napr. http://phpfashion.com/escapovani-definitivni-prirucka.

Mas tu o tom temu, medzi dolezitymi: ochrana-php-skriptov-a-vy-vt29505.html

Co sa SQL injection tyka, tych 99% amaterov, ktori pouzivaju mysql_escape_string a podobne nezmysly, ignoruj a pozri si nieco o prepared statements. (To len pre doplnenie, lebo ani tie seriozne vyzerajuce clanky na nete niekedy neprinasaju dobre informacie.)

Duri, preco je mysql_real_escape_string nezmysel ? Tym nespochybnujem, co pises. Viem, ze prepared statements sa dnes pouziva a je to bezpecne, ale preco nie mysql_real_escape_string ?

Ďuri nehovoril o mysql_real_escape_string, on spomínal iba mysql_escape_string. A tiež si myslím, že nenarážal na ten článok od Davida Grudla, lebo nazvať jeho amatérom... to by bolo celkom vtipné.

Netvrdim, ze escapovanim touto funkciou nejde napisat bezpecna komunikacia s databazou, ale clanky, ktore nabadaju k jej pouzivaniu, povazujem za zle (vratane napriklad toho Grudlovho - amaterom som ho nazvat nechcel, ale byt programator zase nie je ziadna velka veda). Ludia proste nie su schopni oescapovat to bezpecne, vidiet to na mnozstve sqli utokov -> prepared statements to riesia miesto programatora a dalsia vyhoda je v cachovani pripravenych dotazov.

Ďuri - ehm, ty chceš písať o bezpečnosti a pomýliš si mysql_escape_string a mysql_real_escape_string? Dúfam, že poznáš rozdiel.
Nazvať niekoho horším programátorom len preto, že niekto urobil prehľadnú príručku, kde ľuďom vysvetľuje escapovanie podľa kontextu, je viac než trúfalé. Jeho framework má podľa mňa najlepšie vyriešené automatické escapovanie podľa kontextu (a to ho osobne veľmi nepoužívam), vedľa neho vyzerá aj nový Zend ako hračka pre deti do troch rokov.

Nepomylil som si (resp. nepovazoval som za potrebne rozlisovat), mal som na mysli obecne vsetky funkcie, ktore sa pouzivaju na escapovanie v tomto zmysle - vlozenie dat surovo do SQL query.
Priznam sa, ze v clanku som prehliadol vetu "Doporučuji používat databázový layer (např. dibi, PDO) nebo parametrické dotazy, které escapování obstarají za vás.", bohuzial mala byt na prvom mieste velkym pismom, nie kdesi dolu. Povazujem za velke zlo, ze vela vela clankov stale papagajuje, ako sa spravne escapuje pre SQL, co je vec, ktoru by programator vobec nemal riesit - aj to mysqli_real_escape_string je len najlepsie prevedenie zleho riesenia. Nechcem povedat, ze pomocou tejto funkcie nejde napisat aplikaciu odolnu voci SQL injection, ale keby sa vsetci PHP programatori naucili pracovat s SQL tak, ako sa ma, tak je takychto vulnerabilit daleko menej.

Ako už bolo vyššie spomenuté, celkom vhodné su frameworky ako Dibi alebo Nette. (no ani tie ti nezaručia bezpečný web)

Čo môžem povedať k dibi je toľko, že ti možno ušetrí viac času ako pri klasických sql scriptoch. Nemusíš escapovať stringy ale SQL dotaz dibi to spraví za teba veľmi jednoducho.

SELECT * FROM nieco WHERE blabla =%i', $integer

jednoduchý a o niečo bezpečnejší ako klasický spôsob. No ako vravím, 100% bezpečnosť ti nezaručí ani toto. Možno ukráti čas.