php – anti-hack

saytı hack olunmaqdan qorumaq üçün nələr etmək olar? htmlspecialchars,trim,striptags,strlen(limit qoymaq üçün)=>postların qabağına..başqa nələr eləmək olar..?

Verilmiş cavablar və yazılan şərhlər (5 cavab var)

Cavid Həsənov (2010-09-08 14:24:44)
Üzr istıyirəm. Artıq iki ildi phpdən kənaram ona görə yaddan çıxıb. Qocalıq pis şeydi :) Yazmaq istədiyim base64_decode və base64_encode funksiyaları idi. Aşağıda kiçik nümunələr verirəm mənə elə gəlir izzaha ehtiyyac yoxdur. if (isset($_POST['login'])) { $login = mysql_escape_string(htmlspecialchars(stripslashes(trim($_POST['login'])))); } else { unset($login); } $login=substr($login,0,15); $q = mysql_query("SELECT `id` FROM `wap_users` WHERE `login` = '".$login."';"); if(mysql_num_rows($q) != "0") {$error = "Teessüf ki, ".$login." leqebli istifadeçi artıq mövcuddur!";} elseif (empty($login)) {$error = "Leqeb gösterilmeyib!";} elseif (strlen($login) < "4") {$error = "Leqeb 4 simvoldan az olmamalıdır!";}

admin (2010-09-07 14:07:02)
çünki belə bir funksiya yoxdur. :) yuxarıda yazan dost yəqin ki encode, crypt metodların ümumiləşdirib məsəlçün bir funksiya yazıb. hər halda nə demək istədiyi aydındır, sadəcə md5-i decode etməklə bir balaca yanlışlığa yol verib. :)

Adam (2010-09-07 11:33:33)
md5_decode bu funksiya haqqinda birinci defedi eshidirem :D

Cavid Həsənov (2010-09-06 19:09:04)
Əgər saytda qeydiyyat varsa yaxşı olar ki qeydiyyatda zamanı ləqəb və şifrənin düzgünlüyünü yoxlamaq üçün, regular expressionlardan istifadə edəsən. Həmçinin şifrənin ötürülməsində GET metodundan istifadə edirsənsə (adətən wap saytlarda belə olur və şifrə linkdə açıq şəkildə görünür Misal: wap.sizinsayt.com/enter.php?id=2323&pass=12345), yaxşı olar ki şifrəni md5_encode və md5_decode funksiyaları vasitəsi ilə çevirəsən. O zaman yuxarıdakı link təxminən belə olacaq wap.sizinsayt.com/enter.php?id=2323&pass=3gjh59hg9wk04. Həmçinin offline vaxtı təyin etsən yaxşı olar. Bu istifadəçilərin keşdə qalan linklərdən istifadə etməsinin qarşısını alır və müəyyən bir zaman intervalı ərzində aktiv olmadıqda təkrar girişi tələb edir.

admin (2010-09-01 10:16:34)
Bu bir cavabda təsvir olunacaq qədər kiçik məsələ deyil. Sayt təhlükəsizliyi böyük bir mövzudur. Bunun üçün http://phpsec.org/projects/guide/ bu linkdəki materialları oxuyun. Yazdığınız funksiyalar hər biri lazım ola bilər. Əsas bu məsləhətləri verə bilərəm. 1. GET, POST, REQUEST dəyişənlərinin axınını tam nəzarətə almaq və filtr etmək(siz deyən funksiyalarla, lazım olsa is_numeric ilə, addslashes ilə, file_exists ilə və.s.) 2. SQL injectionların qarşısını almaq. Bu məsələ 1-ci bəndlə də sıx bağlıdır. Məqsəd dinamik query-nin istənməyən formay düşməsinin qarşısını almaqdır. 3. XSS və digər məsələlər. Burda artıq məsələ get-gedə qəlizləşdiyindən çıxış yolu FRAMEWORK texnologiyasıdır. Belə ki framvvorklarda yuxarıda yazdığım işlərin əksəriyyəti hazır vəziyyətdə olur siz əziyyətə düşmürsünüz. Framvvorkla bağlı sual olsa ayrıca sual kimi bu saytda yazın.

Mövzu üzrə bənzər suallara da baxa bilərsiniz.

Odnoklasnikdə pulsuz hədiyə göndərmək istiyirəm

BU CÜR SAYT AÇMAQ

Reklam CPC , CTR , RPM dəyəri

Google domenləri

Facebookda Web Sayt reklamı

Sifariş vermək