| | |
| Stránka: 1 z 1
| [ Príspevkov: 13 ] | |
Autor | Správa |
---|
Registrovaný: 21.01.10 Prihlásený: 10.05.16 Príspevky: 92 Témy: 33 |
Ahojte, chcel by som sa spýtať tých čo už dlhšie programuju a aj prošku pofesionálnejšie, že ako zabezpečujete bezpečnosť vaších webových stránok, aby odolali útokom.
Ďakujem
|
|
Registrovaný: 17.07.11 Prihlásený: 29.12.20 Príspevky: 1516 Témy: 3 | Napísal BX: 12.02.2013 20:09 | |
|
Čo najlepšie.
(Na toto existujú hrubé zväzky kníh, takže máš čo študovať. V jednom príspevku ti to ťažko niekto napíše)
_________________ Na súkromné správy týkajúce sa problémov, ktoré sa riešia vo fóre, neodpovedám! |
|
Registrovaný: 21.01.10 Prihlásený: 10.05.16 Príspevky: 92 Témy: 33 | Napísal autor témy kurtulik1: 12.02.2013 21:03 | |
|
a niečo bližšie k tomu. Pretože chcel by som začať programovať profesionálne, len by som chcel vedieť čo treba ošetriť.
|
|
Registrovaný: 17.07.11 Prihlásený: 29.12.20 Príspevky: 1516 Témy: 3 | Napísal BX: 12.02.2013 21:22 | |
|
Myslím, že ak začneš článkami na soom.cz, tak to bude v pohode
_________________ Na súkromné správy týkajúce sa problémov, ktoré sa riešia vo fóre, neodpovedám! |
|
Registrovaný: 21.02.06 Prihlásený: 08.12.14 Príspevky: 5404 Témy: 30 Bydlisko: Bratislava | Napísal shaggy: 12.02.2013 22:05 | |
|
Niečo bližšie k tomu? BX ti napísal, že existujú hrubé zväzky kníh a ty chceš niečo bližšie k tomu? Takýmto prístupom sa z teba profesionál nestane... ani nečakaj, že začneš programovať profesionálne len preto, že si si to práve povedal. K tomu budeš potrebovať veľa štúdia. Z dobrých kníh môžem spomenúť napr. túto: http://knihy.cpress.cz/zranitelny-kod.html, čítal weby ľudí, ktorí vedia o čom píšu: http://php.vrana.cz/, alebo napr. http://phpfashion.com/escapovani-definitivni-prirucka.
_________________ Neradím a nekomunikujem cez SS, ak niečo potrebujete, máte iné možnosti: Ak vám zmizla téma, alebo sa vám niečo nepáči. Ak potrebujete nahlásiť príspevok/človeka, reportujte ho. Ak máte s niečim problém, riešte to v danej téme. |
|
Registrovaný: 14.04.09 Prihlásený: 18.01.22 Príspevky: 1188 Témy: 198 |
_________________ CPU: Intel core i5 3470 GPU: Gigabyte N760OC-2GD MB: MSI B75A-G43 RAM: DDRAM3 8GB (2x4GB) TEAM RAM 1600MHz Elite Zdroj: Seasonic G Series 450W HDD: 500GB vybraty z notebooku Lenovo E531 i5-3230M N4IBPXS SSD:Samsung 840 Evo 250GB Case: Fractal Define R4 black pearl FAN: Cooler Master Hyper 212+ EVO DVD: SAMSUNG DVD±R/±RW/RAM SH-224DB SATA, černá, bulk OS: Ubuntu 12.04 64bit & Windows 7 Ultimate 64bit Monitor: Dell U2412m |
|
Registrovaný: 11.08.07 Príspevky: 4088 Témy: 34 Bydlisko: Brno | Napísal Ďuri: 13.02.2013 18:19 | |
|
Co sa SQL injection tyka, tych 99% amaterov, ktori pouzivaju mysql_escape_string a podobne nezmysly, ignoruj a pozri si nieco o prepared statements. (To len pre doplnenie, lebo ani tie seriozne vyzerajuce clanky na nete niekedy neprinasaju dobre informacie.)
|
|
Registrovaný: 14.04.09 Prihlásený: 18.01.22 Príspevky: 1188 Témy: 198 |
Duri, preco je mysql_real_escape_string nezmysel ? Tym nespochybnujem, co pises. Viem, ze prepared statements sa dnes pouziva a je to bezpecne, ale preco nie mysql_real_escape_string ?
_________________ CPU: Intel core i5 3470 GPU: Gigabyte N760OC-2GD MB: MSI B75A-G43 RAM: DDRAM3 8GB (2x4GB) TEAM RAM 1600MHz Elite Zdroj: Seasonic G Series 450W HDD: 500GB vybraty z notebooku Lenovo E531 i5-3230M N4IBPXS SSD:Samsung 840 Evo 250GB Case: Fractal Define R4 black pearl FAN: Cooler Master Hyper 212+ EVO DVD: SAMSUNG DVD±R/±RW/RAM SH-224DB SATA, černá, bulk OS: Ubuntu 12.04 64bit & Windows 7 Ultimate 64bit Monitor: Dell U2412m |
|
Registrovaný: 21.02.06 Prihlásený: 08.12.14 Príspevky: 5404 Témy: 30 Bydlisko: Bratislava | Napísal shaggy: 14.02.2013 20:51 | |
|
Ďuri nehovoril o mysql_real_escape_string, on spomínal iba mysql_escape_string. A tiež si myslím, že nenarážal na ten článok od Davida Grudla, lebo nazvať jeho amatérom... to by bolo celkom vtipné.
_________________ Neradím a nekomunikujem cez SS, ak niečo potrebujete, máte iné možnosti: Ak vám zmizla téma, alebo sa vám niečo nepáči. Ak potrebujete nahlásiť príspevok/človeka, reportujte ho. Ak máte s niečim problém, riešte to v danej téme. |
|
Registrovaný: 11.08.07 Príspevky: 4088 Témy: 34 Bydlisko: Brno | Napísal Ďuri: 15.02.2013 17:34 | |
|
1daemon1 píše: Duri, preco je mysql_real_escape_string nezmysel ? Netvrdim, ze escapovanim touto funkciou nejde napisat bezpecna komunikacia s databazou, ale clanky, ktore nabadaju k jej pouzivaniu, povazujem za zle (vratane napriklad toho Grudlovho - amaterom som ho nazvat nechcel, ale byt programator zase nie je ziadna velka veda). Ludia proste nie su schopni oescapovat to bezpecne, vidiet to na mnozstve sqli utokov -> prepared statements to riesia miesto programatora a dalsia vyhoda je v cachovani pripravenych dotazov.
|
|
Registrovaný: 21.02.06 Prihlásený: 08.12.14 Príspevky: 5404 Témy: 30 Bydlisko: Bratislava | Napísal shaggy: 17.02.2013 18:24 | |
|
Ďuri - ehm, ty chceš písať o bezpečnosti a pomýliš si mysql_escape_string a mysql_real_escape_string? Dúfam, že poznáš rozdiel. Nazvať niekoho horším programátorom len preto, že niekto urobil prehľadnú príručku, kde ľuďom vysvetľuje escapovanie podľa kontextu, je viac než trúfalé. Jeho framework má podľa mňa najlepšie vyriešené automatické escapovanie podľa kontextu (a to ho osobne veľmi nepoužívam), vedľa neho vyzerá aj nový Zend ako hračka pre deti do troch rokov.
_________________ Neradím a nekomunikujem cez SS, ak niečo potrebujete, máte iné možnosti: Ak vám zmizla téma, alebo sa vám niečo nepáči. Ak potrebujete nahlásiť príspevok/človeka, reportujte ho. Ak máte s niečim problém, riešte to v danej téme. |
|
Registrovaný: 11.08.07 Príspevky: 4088 Témy: 34 Bydlisko: Brno | Napísal Ďuri: 17.02.2013 22:08 | |
|
Nepomylil som si (resp. nepovazoval som za potrebne rozlisovat), mal som na mysli obecne vsetky funkcie, ktore sa pouzivaju na escapovanie v tomto zmysle - vlozenie dat surovo do SQL query. Priznam sa, ze v clanku som prehliadol vetu "Doporučuji používat databázový layer (např. dibi, PDO) nebo parametrické dotazy, které escapování obstarají za vás.", bohuzial mala byt na prvom mieste velkym pismom, nie kdesi dolu. Povazujem za velke zlo, ze vela vela clankov stale papagajuje, ako sa spravne escapuje pre SQL, co je vec, ktoru by programator vobec nemal riesit - aj to mysqli_real_escape_string je len najlepsie prevedenie zleho riesenia. Nechcem povedat, ze pomocou tejto funkcie nejde napisat aplikaciu odolnu voci SQL injection, ale keby sa vsetci PHP programatori naucili pracovat s SQL tak, ako sa ma, tak je takychto vulnerabilit daleko menej.
|
|
Registrovaný: 05.02.13 Prihlásený: 26.10.23 Príspevky: 59 Témy: 3 |
Ako už bolo vyššie spomenuté, celkom vhodné su frameworky ako Dibi alebo Nette. (no ani tie ti nezaručia bezpečný web)
Čo môžem povedať k dibi je toľko, že ti možno ušetrí viac času ako pri klasických sql scriptoch. Nemusíš escapovať stringy ale SQL dotaz dibi to spraví za teba veľmi jednoducho.
SELECT * FROM nieco WHERE blabla =%i', $integer
jednoduchý a o niečo bezpečnejší ako klasický spôsob. No ako vravím, 100% bezpečnosť ti nezaručí ani toto. Možno ukráti čas.
|
|
| Stránka: 1 z 1
| [ Príspevkov: 13 ] | |
Podobné témy | Témy | Odpovede | Zobrazenia | Posledný príspevok |
---|
| Bezpečnosť webu v Ostatné | 1 | 328 | 22.02.2016 19:08 chrono | | bezpecnost v PHP, ASP | 6 | 617 | 05.02.2008 16:27 p360t | | Bezpečnosť Windows v Antivíry a antispywary | 7 | 621 | 17.11.2015 13:33 shiro | | Bezpečnosť COOKIE v PHP, ASP | 17 | 1093 | 25.10.2008 14:02 Tominator | | Bezpečnosť videa v Krčma | 11 | 623 | 30.01.2012 9:39 TESLA | | VB-bezpečnosť v Delphi, Visual Basic | 6 | 792 | 21.05.2009 11:41 Fico | | Bezpečnosť $_COOKIE v PHP, ASP | 29 | 605 | 18.11.2014 19:02 JanoF | | SKYPE bezpečnosť v Sieťové a internetové programy | 3 | 1223 | 07.05.2010 15:32 tonky51 | | Bezpecnost routeru v Bezpečnosť a firewally | 1 | 740 | 28.11.2009 11:32 Jaro | | akú bezpečnosť v Bezpečnosť a firewally | 18 | 2418 | 06.08.2007 13:05 Rbot | | Bezpecnost stranky v PHP, ASP | 5 | 432 | 24.08.2013 22:04 shaggy | | Bezpečnosť MYSQL v PHP, ASP | 2 | 565 | 15.03.2008 18:55 Tominator | | Bezpečnosť obrázkov v PHP, ASP | 8 | 613 | 10.01.2009 21:08 shaggy | | Bezpečnosť ICQ [ Choď na stránku: 1, 2 ] v Bezpečnosť a firewally | 30 | 5920 | 19.08.2007 23:09 piskvorko | | Izreal/Jordánsko - bezpečnosť v Dovolenka, cestovanie a turistika | 5 | 697 | 12.05.2018 10:01 Xaltotun | | Bezpečnosť proti XSS v PHP, ASP | 2 | 466 | 30.05.2014 21:59 Ďuri |
| Nemôžete zakladať nové témy v tomto fóre Nemôžete odpovedať na témy v tomto fóre Nemôžete upravovať svoje príspevky v tomto fóre Nemôžete mazať svoje príspevky v tomto fóre
|
|