[ Príspevkov: 13 ] 
AutorSpráva
Offline

Užívateľ
Užívateľ
Obrázok užívateľa

Registrovaný: 21.01.10
Prihlásený: 10.05.16
Príspevky: 92
Témy: 33 | 33
NapísalOffline : 12.02.2013 19:59 | bezpečnosť webu

Ahojte,
chcel by som sa spýtať tých čo už dlhšie programuju a aj prošku pofesionálnejšie, že ako zabezpečujete bezpečnosť vaších webových stránok, aby odolali útokom.

Ďakujem


Offline

Skúsený užívateľ
Skúsený užívateľ
Obrázok užívateľa

Registrovaný: 17.07.11
Prihlásený: 17.12.17
Príspevky: 1433
Témy: 2 | 2
Bydlisko: Praha / Rev...
NapísalOffline : 12.02.2013 20:09 | bezpečnosť webu

Čo najlepšie.

(Na toto existujú hrubé zväzky kníh, takže máš čo študovať. V jednom príspevku ti to ťažko niekto napíše)


_________________
Na súkromné správy týkajúce sa problémov, ktoré sa riešia vo fóre, neodpovedám!
Offline

Užívateľ
Užívateľ
Obrázok užívateľa

Registrovaný: 21.01.10
Prihlásený: 10.05.16
Príspevky: 92
Témy: 33 | 33
Napísal autor témyOffline : 12.02.2013 21:03 | bezpečnosť webu

a niečo bližšie k tomu. Pretože chcel by som začať programovať profesionálne, len by som chcel vedieť čo treba ošetriť.


Offline

Skúsený užívateľ
Skúsený užívateľ
Obrázok užívateľa

Registrovaný: 17.07.11
Prihlásený: 17.12.17
Príspevky: 1433
Témy: 2 | 2
Bydlisko: Praha / Rev...
NapísalOffline : 12.02.2013 21:22 | bezpečnosť webu

Myslím, že ak začneš článkami na soom.cz, tak to bude v pohode :)


_________________
Na súkromné správy týkajúce sa problémov, ktoré sa riešia vo fóre, neodpovedám!
Offline

Čestný člen
Čestný člen
bezpečnosť webu

Registrovaný: 21.02.06
Prihlásený: 08.12.14
Príspevky: 5447
Témy: 30 | 30
Bydlisko: Bratislava
NapísalOffline : 12.02.2013 22:05 | bezpečnosť webu

Niečo bližšie k tomu? BX ti napísal, že existujú hrubé zväzky kníh a ty chceš niečo bližšie k tomu? Takýmto prístupom sa z teba profesionál nestane... ani nečakaj, že začneš programovať profesionálne len preto, že si si to práve povedal. K tomu budeš potrebovať veľa štúdia.

Z dobrých kníh môžem spomenúť napr. túto: http://knihy.cpress.cz/zranitelny-kod.html, čítal weby ľudí, ktorí vedia o čom píšu: http://php.vrana.cz/, alebo napr. http://phpfashion.com/escapovani-definitivni-prirucka.


_________________
Neradím a nekomunikujem cez SS, ak niečo potrebujete, máte iné možnosti: Ak vám zmizla téma, alebo sa vám niečo nepáči. Ak potrebujete nahlásiť príspevok/človeka, reportujte ho. Ak máte s niečim problém, riešte to v danej téme.
Offline

Užívateľ
Užívateľ
Obrázok užívateľa

Registrovaný: 14.04.09
Prihlásený: 28.11.17
Príspevky: 1178
Témy: 188 | 188
NapísalOffline : 13.02.2013 15:55 | bezpečnosť webu

Mas tu o tom temu, medzi dolezitymi: ochrana-php-skriptov-a-vy-vt29505.html


_________________
CPU: Intel core i5 3470 GPU: Gigabyte N760OC-2GD MB: MSI B75A-G43 RAM: DDRAM3 8GB (2x4GB) TEAM RAM 1600MHz Elite Zdroj: Seasonic G Series 450W HDD: 500GB vybraty z notebooku Lenovo E531 i5-3230M N4IBPXS SSD:Samsung 840 Evo 250GB Case: Fractal Define R4 black pearl FAN: Cooler Master Hyper 212+ EVO DVD: SAMSUNG DVD±R/±RW/RAM SH-224DB SATA, černá, bulk OS: Ubuntu 12.04 64bit & Windows 7 Ultimate 64bit Monitor: Dell U2412m
Offline

Čestný člen
Čestný člen
bezpečnosť webu

Registrovaný: 11.08.07
Príspevky: 4110
Témy: 30 | 30
Bydlisko: Brno
NapísalOffline : 13.02.2013 18:19 | bezpečnosť webu

Co sa SQL injection tyka, tych 99% amaterov, ktori pouzivaju mysql_escape_string a podobne nezmysly, ignoruj a pozri si nieco o prepared statements. (To len pre doplnenie, lebo ani tie seriozne vyzerajuce clanky na nete niekedy neprinasaju dobre informacie.)


Offline

Užívateľ
Užívateľ
Obrázok užívateľa

Registrovaný: 14.04.09
Prihlásený: 28.11.17
Príspevky: 1178
Témy: 188 | 188
NapísalOffline : 14.02.2013 20:42 | bezpečnosť webu

Duri, preco je mysql_real_escape_string nezmysel ? Tym nespochybnujem, co pises. Viem, ze prepared statements sa dnes pouziva a je to bezpecne, ale preco nie mysql_real_escape_string ?


_________________
CPU: Intel core i5 3470 GPU: Gigabyte N760OC-2GD MB: MSI B75A-G43 RAM: DDRAM3 8GB (2x4GB) TEAM RAM 1600MHz Elite Zdroj: Seasonic G Series 450W HDD: 500GB vybraty z notebooku Lenovo E531 i5-3230M N4IBPXS SSD:Samsung 840 Evo 250GB Case: Fractal Define R4 black pearl FAN: Cooler Master Hyper 212+ EVO DVD: SAMSUNG DVD±R/±RW/RAM SH-224DB SATA, černá, bulk OS: Ubuntu 12.04 64bit & Windows 7 Ultimate 64bit Monitor: Dell U2412m
Offline

Čestný člen
Čestný člen
bezpečnosť webu

Registrovaný: 21.02.06
Prihlásený: 08.12.14
Príspevky: 5447
Témy: 30 | 30
Bydlisko: Bratislava
NapísalOffline : 14.02.2013 20:51 | bezpečnosť webu

Ďuri nehovoril o mysql_real_escape_string, on spomínal iba mysql_escape_string. A tiež si myslím, že nenarážal na ten článok od Davida Grudla, lebo nazvať jeho amatérom... to by bolo celkom vtipné.


_________________
Neradím a nekomunikujem cez SS, ak niečo potrebujete, máte iné možnosti: Ak vám zmizla téma, alebo sa vám niečo nepáči. Ak potrebujete nahlásiť príspevok/človeka, reportujte ho. Ak máte s niečim problém, riešte to v danej téme.
Offline

Čestný člen
Čestný člen
bezpečnosť webu

Registrovaný: 11.08.07
Príspevky: 4110
Témy: 30 | 30
Bydlisko: Brno
NapísalOffline : 15.02.2013 17:34 | bezpečnosť webu

1daemon1 píše:
Duri, preco je mysql_real_escape_string nezmysel ?

Netvrdim, ze escapovanim touto funkciou nejde napisat bezpecna komunikacia s databazou, ale clanky, ktore nabadaju k jej pouzivaniu, povazujem za zle (vratane napriklad toho Grudlovho - amaterom som ho nazvat nechcel, ale byt programator zase nie je ziadna velka veda). Ludia proste nie su schopni oescapovat to bezpecne, vidiet to na mnozstve sqli utokov -> prepared statements to riesia miesto programatora a dalsia vyhoda je v cachovani pripravenych dotazov.


Offline

Čestný člen
Čestný člen
bezpečnosť webu

Registrovaný: 21.02.06
Prihlásený: 08.12.14
Príspevky: 5447
Témy: 30 | 30
Bydlisko: Bratislava
NapísalOffline : 17.02.2013 18:24 | bezpečnosť webu

Ďuri - ehm, ty chceš písať o bezpečnosti a pomýliš si mysql_escape_string a mysql_real_escape_string? Dúfam, že poznáš rozdiel.
Nazvať niekoho horším programátorom len preto, že niekto urobil prehľadnú príručku, kde ľuďom vysvetľuje escapovanie podľa kontextu, je viac než trúfalé. Jeho framework má podľa mňa najlepšie vyriešené automatické escapovanie podľa kontextu (a to ho osobne veľmi nepoužívam), vedľa neho vyzerá aj nový Zend ako hračka pre deti do troch rokov.


_________________
Neradím a nekomunikujem cez SS, ak niečo potrebujete, máte iné možnosti: Ak vám zmizla téma, alebo sa vám niečo nepáči. Ak potrebujete nahlásiť príspevok/človeka, reportujte ho. Ak máte s niečim problém, riešte to v danej téme.
Offline

Čestný člen
Čestný člen
bezpečnosť webu

Registrovaný: 11.08.07
Príspevky: 4110
Témy: 30 | 30
Bydlisko: Brno
NapísalOffline : 17.02.2013 22:08 | bezpečnosť webu

Nepomylil som si (resp. nepovazoval som za potrebne rozlisovat), mal som na mysli obecne vsetky funkcie, ktore sa pouzivaju na escapovanie v tomto zmysle - vlozenie dat surovo do SQL query.
Priznam sa, ze v clanku som prehliadol vetu "Doporučuji používat databázový layer (např. dibi, PDO) nebo parametrické dotazy, které escapování obstarají za vás.", bohuzial mala byt na prvom mieste velkym pismom, nie kdesi dolu. Povazujem za velke zlo, ze vela vela clankov stale papagajuje, ako sa spravne escapuje pre SQL, co je vec, ktoru by programator vobec nemal riesit - aj to mysqli_real_escape_string je len najlepsie prevedenie zleho riesenia. Nechcem povedat, ze pomocou tejto funkcie nejde napisat aplikaciu odolnu voci SQL injection, ale keby sa vsetci PHP programatori naucili pracovat s SQL tak, ako sa ma, tak je takychto vulnerabilit daleko menej.


Offline

Užívateľ
Užívateľ
bezpečnosť webu

Registrovaný: 05.02.13
Prihlásený: 20.09.17
Príspevky: 59
Témy: 3 | 3
NapísalOffline : 18.02.2013 15:18 | bezpečnosť webu

Ako už bolo vyššie spomenuté, celkom vhodné su frameworky ako Dibi alebo Nette. (no ani tie ti nezaručia bezpečný web)

Čo môžem povedať k dibi je toľko, že ti možno ušetrí viac času ako pri klasických sql scriptoch. Nemusíš escapovať stringy ale SQL dotaz dibi to spraví za teba veľmi jednoducho.

SELECT * FROM nieco WHERE blabla =%i', $integer

jednoduchý a o niečo bezpečnejší ako klasický spôsob. No ako vravím, 100% bezpečnosť ti nezaručí ani toto. Možno ukráti čas.


 [ Príspevkov: 13 ] 


bezpečnosť webu



Podobné témy

 Témy  Odpovede  Zobrazenia  Posledný príspevok 
V tomto fóre nie sú ďalšie neprečítané témy.

Bezpečnosť webu

v Ostatné

1

116

22.02.2016 19:08

chrono

V tomto fóre nie sú ďalšie neprečítané témy.

bezpecnost

v PHP, ASP

6

371

05.02.2008 16:27

p360t

V tomto fóre nie sú ďalšie neprečítané témy.

Bezpecnost routeru

v Bezpečnosť a firewally

1

472

28.11.2009 11:32

Jaro

V tomto fóre nie sú ďalšie neprečítané témy.

akú bezpečnosť

v Bezpečnosť a firewally

18

2077

06.08.2007 13:05

Rbot

V tomto fóre nie sú ďalšie neprečítané témy.

Bezpecnost stranky

v PHP, ASP

5

184

24.08.2013 22:04

shaggy

V tomto fóre nie sú ďalšie neprečítané témy.

Bezpečnosť $_COOKIE

v PHP, ASP

29

346

18.11.2014 19:02

JanoF

V tomto fóre nie sú ďalšie neprečítané témy.

Bezpečnosť obrázkov

v PHP, ASP

8

321

10.01.2009 21:08

shaggy

V tomto fóre nie sú ďalšie neprečítané témy.

Bezpečnosť MYSQL

v PHP, ASP

2

376

15.03.2008 18:55

Tominator

V tomto fóre nie sú ďalšie neprečítané témy.

Bezpecnost $_POST

v PHP, ASP

26

666

15.01.2015 23:57

chrono

V tomto fóre nie sú ďalšie neprečítané témy.

Bezpečnosť COOKIE

v PHP, ASP

17

800

25.10.2008 14:02

Tominator

V tomto fóre nie sú ďalšie neprečítané témy.

Bezpečnosť videa

v Krčma

11

378

30.01.2012 9:39

TESLA

V tomto fóre nie sú ďalšie neprečítané témy.

SKYPE bezpečnosť

v Sieťové a internetové programy

3

998

07.05.2010 15:32

tonky51

V tomto fóre nie sú ďalšie neprečítané témy.

VB-bezpečnosť

v Delphi, Visual Basic

6

581

21.05.2009 11:41

Fico

V tomto fóre nie sú ďalšie neprečítané témy.

Bezpečnosť Windows

v Antivíry a antispywary

7

232

17.11.2015 13:33

shiro

V tomto fóre nie sú ďalšie neprečítané témy.

Bezpečnosť ICQ

[ Choď na stránku:Choď na stránku: 1, 2 ]

v Bezpečnosť a firewally

30

5528

19.08.2007 23:09

piskvorko

V tomto fóre nie sú ďalšie neprečítané témy.

Session a bezpečnosť

v PHP, ASP

1

259

01.05.2008 16:38

kmsa



© 2005 - 2017 PCforum, edited by JanoF