Salutare.
Simplu si la subiect: Cum se securizeaza un cod PHP pentru nu a avea probleme cu hackeri?
Stiu si eu sa caut pe google, am aflat de mysqli, mysql_real_escape_string(), dar vreau sa stiu si din experienta voastra.
Mai ales cum se securizeaza formularele si orice are legatura cu baza de date. Linkurile gen example.com?name=ion prin metoda GET dar si prin POST.
Multumesc!
Securizare cod PHP
Moderatori: Moderatori, Start Moderator
Re: Securizare cod PHP
Eu pe un site facut de mine am creat aceasta functie :
Acuma nustiu cat de buna ii sau nui, as vrea sa se uite careva peste ea si sa si zica daca ajuta la ceva sau nu
si daca vrei sa o folosesti o poti folosi si tu punand functia intrun fisier php .
Daca ai gasit ceva ce nui bun la ea sau ai adaugat ceva atunci pune noile inbunatatiri te rog
Cod: Selectaţi tot
/* Functie convertire caractere speciale */
function convert($string){
$semne = array('<script>', '</script>',
'<noscript>', '</noscript>',
'<head>', '</head>',
'<style>', '</style>',
'<object>', '</object>',
'<embed>', '</embed>',
'<applet>', '</applet>',
'<noframes>', '</noframes>',
'<noembed>', '</noembed>',
'javascript:', 'vbscript:',
'<script language=', '<script src=',
'src=javascript:', 'src=vbscript:',
'?', '@', '|', '!', '.', '(', ')', '\'');
$html = array('<script>', '</script>',
'<noscript>', '</noscript>',
'<head>', '</head>',
'<style>', '</style>',
'<object>', '</object>',
'<embed>', '</embed>',
'<applet>', '</applet>',
'<noframes>', '</noframes>',
'<noembed>', '</noembed>',
'javascript:', 'vbscript:',
'<script language=', '<script src=',
'src=javascript:', 'src=vbscript:',
'?', '@', '|', '!', '.', '(', ')', ''');
$string = str_ireplace($semne, $html, $string);
return $string;
}Acuma nustiu cat de buna ii sau nui, as vrea sa se uite careva peste ea si sa si zica daca ajuta la ceva sau nu
si daca vrei sa o folosesti o poti folosi si tu punand functia intrun fisier php . Daca ai gasit ceva ce nui bun la ea sau ai adaugat ceva atunci pune noile inbunatatiri te rog
Re: Securizare cod PHP
Principiul e asta: Sa faci in asa fel ca utilizatorul sa nu poata insera niciun cod php, mysql js, etc in pagini astfel incat sa fie prelucrat, ca apoi iti dauneaza tie.
De exemplu daca tu ai un formular ce salveaza continutul intr-un fisier php care apoi este inclus in pagina, iar eu trimit print acel formular un cod php ce sterge toate fisierele gasite, in momentul cand voi accesa pagina in care ai inclus tu acel fisier se va interpreta scriptul scris de mine si va face ce i-am zis eu sa faca.
Intotdeauna cand preiei informatii din formulare sa stergi tagurile html si php cu functia strip_tags()
O alta importanta au stergerea ghilimelelor, caracterelor punct si virgula si altele (asta pentru protectia sql). Cauta despre sql injection si vezi cum functioneaza. E cam mult de explicat ca sa iti zic aici.
De exemplu daca tu ai un formular ce salveaza continutul intr-un fisier php care apoi este inclus in pagina, iar eu trimit print acel formular un cod php ce sterge toate fisierele gasite, in momentul cand voi accesa pagina in care ai inclus tu acel fisier se va interpreta scriptul scris de mine si va face ce i-am zis eu sa faca.
Intotdeauna cand preiei informatii din formulare sa stergi tagurile html si php cu functia strip_tags()
O alta importanta au stergerea ghilimelelor, caracterelor punct si virgula si altele (asta pentru protectia sql). Cauta despre sql injection si vezi cum functioneaza. E cam mult de explicat ca sa iti zic aici.
Re: Securizare cod PHP
@alexe ce ai facut tu se poate face foarte usor cu functia htmlspecialchars() care in loc de interpreta tagurile respective (orice tag) le afiseaza asa cum sunt:
Mai sunt de folos functiile html_entity_decode("sir") si htmlentities("sir")
Testeaza-le
Cod: Selectaţi tot
<?php
$a = '<b>bla bla bla</b>';
echo htmlspecialchars($a);
?>
Mai sunt de folos functiile html_entity_decode("sir") si htmlentities("sir")
Testeaza-le
-
Birkoff
- Senior Member
- Mesaje: 6380
- Membru din: Joi Mar 18, 2004 2:34 pm
- Localitate: Bucuresti
- Contact:
Re: Securizare cod PHP
GigiDuru scrie:Salutare.
Simplu si la subiect: Cum se securizeaza un cod PHP pentru nu a avea probleme cu hackeri?
Stiu si eu sa caut pe google, am aflat de mysqli, mysql_real_escape_string(), dar vreau sa stiu si din experienta voastra.
Mai ales cum se securizeaza formularele si orice are legatura cu baza de date. Linkurile gen example.com?name=ion prin metoda GET dar si prin POST.
Multumesc!
uite cateva tutoriale de studiu, trateaza mai multe tipuri de atacuri si exemple despre cum te poti proteja de fiecare, citeste-le si aplica-le.
1) CMS, ERP, CRM, etc... (doar pentru clienti))
2) Portofoliu, servicii, contact, blog
3) Folositi aceasta clasa sql in proiectele voastre (open source)
4) Vrei un magazin virtual la cheie, usor de folosit, cu api-uri incluse pentru maximizarea vanzarilor si multe alte facilitati? Da un semn si discutam.
2) Portofoliu, servicii, contact, blog
3) Folositi aceasta clasa sql in proiectele voastre (open source)
4) Vrei un magazin virtual la cheie, usor de folosit, cu api-uri incluse pentru maximizarea vanzarilor si multe alte facilitati? Da un semn si discutam.
Cine este conectat
Utilizatori ce ce navighează pe acest forum: Niciun utilizator înregistrat și 52 vizitatori