Модераторы: skyboy, MoLeX, Aliance, ksnk
  

Поиск:

Ответ в темуСоздание новой темы Создание опроса
> Делаю гостю на файлах, помогите с методами защиты 
:(
    Опции темы
cereza
Дата 18.6.2007, 22:42 (ссылка) | (нет голосов) Загрузка ... Загрузка ... Быстрая цитата Цитата


Новичок



Профиль
Группа: Участник
Сообщений: 16
Регистрация: 1.4.2007

Репутация: нет
Всего: нет



Написал простую гостевую пишим сообщение и ник записывается в один файл, отображается на главной это всё. Помагите с зашитой что нужно вписать в скрипт что бы сломать не могли через гостю.Спасибо
PM MAIL ICQ   Вверх
Golda
Дата 19.6.2007, 00:26 (ссылка) | (нет голосов) Загрузка ... Загрузка ... Быстрая цитата Цитата


Опытный
**


Профиль
Группа: Участник
Сообщений: 460
Регистрация: 26.3.2007
Где: Ариель, Израиль

Репутация: 20
Всего: 42



  • Не совсем поняла, что Вы сделали: все сообщения в один файл или каждое в отдельном? В первом случае не забудьте, что из PHP можно работать с файлами не <= 2Гб и проверяйте время от времени, не пора ли файл сменить/обнулить/...
  • Выведите файл/файлы за пределы DOCUMENT_ROOT или защитите от прямого доступа в .htaccess (для Apache)
  • Если данные пользователя (ник, тема...) участвуют в формировании пути к файлу, отфильтруйте их, чтобы не осталось лазеек для выхода за пределы директории (например, с помощью регулярных выражений)
  • Чтобы не допустить XSS (это уже при показе сообщений), отфильровывайте теги и все возможности их воспроизведения с помощью  entities и кодов
  • Чтобы не допустить заспамливания и ограничить возможности DOS-атаки, фиксируйте в сессии время и количество сообщений пользователя. Ограничьте максимальное количество постов на одну сессию и введите минимальное время между двумя постами из одной сессии. В этом же духе можно придумать много дополнительных проверок: в пределах сессии не может меняться IP и User-Agent, прежде чем послать POST, пользователь должен был запросить страницу с формой (отслеживайте по HTTP_REFERER)...
  • Позаботьтесь о достаточно подробном логе происходящего. Тогда, если почуствуете неладное, по логам сможете отследить особенности атаки и принять соответствующие меры. Если Вы не уверены, что сервер настроен так, чтобы достаточно подробно протоколировать события (варианты: нет доступа к настройкам сервера, удобнее вести отдельный лог для формы, чтобы легче было найти те данные, что Вам нужно), организуйте лог средствами PHP



--------------------
"For every problem, there exists a simple and elegant solution which is absolutely wrong." -- J. Wagoner, U.C.B. Mathematics
PM MAIL   Вверх
kdk
  Дата 19.6.2007, 00:28 (ссылка) | (нет голосов) Загрузка ... Загрузка ... Быстрая цитата Цитата


Новичок



Профиль
Группа: Участник
Сообщений: 16
Регистрация: 16.3.2007

Репутация: нет
Всего: нет



Покажи сначала исходник а потом проси помощи!
PM MAIL   Вверх
BuShaRt
Дата 19.6.2007, 15:27 (ссылка) | (нет голосов) Загрузка ... Загрузка ... Быстрая цитата Цитата


Эксперт
***


Профиль
Группа: Завсегдатай
Сообщений: 1391
Регистрация: 29.6.2006

Репутация: 4
Всего: 6



cereza
сломать смогут в любом случае smile
Есть возможность лишь уменьшить возможность взлома, для этого надо читать о методиках защиты, а это целые книги.
PM MAIL   Вверх
  
Ответ в темуСоздание новой темы Создание опроса
Правила форума "PHP"
Aliance
IZ@TOP
skyboy
SamDark
MoLeX

Новичкам:

  • PHP редакторы собираются и обсуждаются здесь
  • Электронные книги по PHP, документацию можно найти здесь
  • Интерпретатор PHP, полную документацию можно скачать на PHP.NET

Важно:

  • Не брезгуйте пользоваться тегами [code=php]КОД[/code] для повышения читабельности текста/кода.
  • Перед созданием новой темы воспользуйтесь поиском и загляните в FAQ
  • Действия модераторов можно обсудить здесь

Внимание:

  • Темы "ищу скрипт", "подскажите скрипт" и т.п. будут переноситься в форум "Web-технологии"
  • Темы с именами: "Срочно", "помогите", "не знаю как делать" будут УДАЛЯТЬСЯ

Если Вам понравилась атмосфера форума, заходите к нам чаще! С уважением, IZ@TOP, skyboy, SamDark, MoLeX, awers.

 
1 Пользователей читают эту тему (1 Гостей и 0 Скрытых Пользователей)
0 Пользователей:
« Предыдущая тема | PHP: Общие вопросы | Следующая тема »


 




[ Время генерации скрипта: 0.0585 ]   [ Использовано запросов: 21 ]   [ GZIP включён ]


Реклама на сайте     Информационное спонсорство

 
По вопросам размещения рекламы пишите на vladimir(sobaka)vingrad.ru
Отказ от ответственности     Powered by Invision Power Board(R) 1.3 © 2003  IPS, Inc.