Защита при създаване на PHP приложения в интернет
•Download as PPTX, PDF•
0 likes•204 views
Защита при създаване на PHP приложения в интернет
- 1. ЗАЩИТА ПРИ СЪЗДАВАНЕ НА РНР-ПРИЛОЖЕНИЯ В ИНТЕРНЕТ
- 2. • Средства на зложелателите • Общи практики • Конкретни практики
- 6. XSS АТАКИ
- 7. CRFS – CROSS-SITE ФАЛШИФИКАТИ НА ЗАЯВКИ
- 9. БАЗИ ДАННИ • db.inc • SQL инжектиране
- 11. ПРОБЛЕМИ СЪС СПОДЕЛЕН ХОСТИНГ • Обща файлова система
- 13. ФИЛТРИРАНЕ НА ВХОДЯЩАТА ИНФОРМАЦИЯ • „Изчистен масив“ • Конкретен подход • Switch • Вградени функции • Регулярни изрази
- 14. ДЕКОДИРАНЕ НА ИЗХОДЯЩАТА ИНФОРМАЦИЯ • htrmentities() • htmlspecialchars() • mysql_real_escape_string() • mysqli_real_escape_string()
- 15. ДРУГИ ОБЩИ СЪВЕТИ • Изключена register_globals • Възможно най-малко привилегии • Защита в дълбочина • SSL
- 17. ЗАЩИТА ОТ СЕМАНТИЧНИ АТАКИ • (Трябва сигурност) ? POST : GET; • ! $_REQUEST
- 18. ЗАЩИТА НА БАЗИ ДАННИ • db.inc • Извън публичната директория • Настройки на Apache • Разширение .php • Sql инжектиране • mysqli_real_escape_string() • md5 != 100%, md5+собствени модификации • mysqli_error само при разработка! • prepared заявки
- 19. ЗАЩИТА ПРИ СПОДЕЛЕН ХОСТИНГ • Важни данни – във файл с ограничени права • Сесийни данни – в база данни
- 20. ЗАЩИТА ПРИ СЕСИИ • session_regenerate_id(); • Подновяване всеки път на ИД-то на сесията • Проверка на http header-a (например HTTP_USER_AGENT) • Добавяне на още проверки за идентификация
- 21. ИЗВОД