Уважаемый народ, подскажите пожайлуста "что и как" надо проверять в PHP скриптах, во избежании проблем с последующей возможностью взлома! Возможно есть какой-нибудь софт по этой теме. Буду очень благодарен за совет! P.S. web-сервер стоит на Win-платформе (windows 2003 server), если есть советы по настройке безопастности, БУДУ ТОЛЬКО РАД! Заранее всех благодарю!
Зависит от направления скрипта, если используются SQL базы, то SQL-инъекции, если $_GET запросы то чтоб тэги не передавались и лишняя лабуда, если system() и exec(), то чтоб прав было поменьше.
Про SQL-инъекции уже исправляюсь, а вот про запросы учту, как то вылетило из головы, спасибо! Ну system() и exec() необходимости использовать не было Благодарю!
Вообще до этого особо о безопастности скриптов как то не парился, но меня попроси (ну естественно вознаграждения пообещали) сделать сайтик, свою работу я сдела, но когда пришло время его размещать, стали возникать вопросы! У организации свой сервер, на базе W2003Server, поставили на нее Apach, MySQL 4, сайт загрузили все шуршит.....через 3 дня прихожу в эту контору, а у меня их админ интересуется, почему я не стал использовать уже готовый движок, а стал изобретать велосипед, ну объяснил (так интереснее, мол учусь, опыта нибираюсь), а он мне говорит, что проверил сайт (скрипты) на баги "через сайт уже легко можно папки сервера просматривать"...вот я и хочу узнать, что это могут быть за ошибки и возможно ли их исправить....энтузиазма просто все это на готовый движок переделывать нет....да и для жизни пригодится такая практика...а что у него какие то дорогие проги были я что-то сомневаюсь! Начал шерстить интернет.....успехов тоже не достиг!
Спроси у админа, раз он знает. Или хочешь узнать об ошибках у тех, кто эти скрипты ни разу в глаза не видел?
Это если, например, указать неправильное имя скрипта. Но это правится через конфиг. Ошибки кодирования тут нет...
??? То есть ты хочешь сказать, что это надо безопасность сервера настраивать, а сам код здесь не причем?
На самом деле, ты прав, готовый движок - не показатель качества. Собственные скрипты, к сожалению, тоже. <offtopic>На днях посмотрел пресловутый "Битрикс" - в принципе, неплохо... но имхо, не стоит своей цены. </offtopic> Зависит от метода подключения скриптов(Include-injection), методов работы с БД(SQL-injection), реализации дополнительных фенечек(XSS-атаки). При этом, естественно остается и опасность со стороны сервера ((Distributed)DenialOfService - (D)DoS-атаки). Это все надо учитывать. Как хорошо было написано у Геркена и Ратшиллера в книге - "В коллективе должны быть специалисты по безопасности" (с) Максимум, что я могу тебе посоветовать, это дать ссылку на сам сайт или исходники для просмотра. Некоторым здесь будет полезно поучится на чужих ошибках. Мы же можем попробовать найти явные уязвимости.
Ну код я не видел. Говорить такого не буду... 1. С тем админом ты не знаком. 2. Я сказал то, что можно посоветовать в рассчете на нормальный код. Глупость - не глупость, а все таки я сказал истину...
!!! С админом не знаком, так в процессе установки общались пару раз.....вообще Apach я настраивал, честно скажу, настроил лиж бы показывал, ни времени ни желания не было, но админ сказал, что сам, если что поднастроит! Свои коды выгораживать тоже не буду, так как опыта по этому вопросу никакого! Про специалиста по безопасности полностью согласен, в порядочных учреждениях такие имеются.....и получают за свою работу достойно! Кто может помочь исходники пришлю по почте, оставте адрес.
эх... можешь слать на admin@creogen.org - в теме напиши, что с форума =) код воровать не буду, обещаю, если у тебя там не супер-технологий опередивших время на пару геологических периодов...
Интересно, почему групповая фантазия остановилась исключительно на options indexes. которая, кстати, ни разу не дефолтная. то есть, её ещё надо догадаться специально включить. И никто не предположил гораздо более вероятного варианта, которым грешат все поголовно начинающие писатели на пхп - include
Чебурген мое имхо это не предположения о Include-injection уже промелькнули в топике не раз. а вот про options indexes не сказано, хотя по описанию подходит на apache под win по-умолчанию стоит эта опция туда по первой и размещают сайт
Может, мы разные топики читаем? про инклюд лично я не видел, а про индексацию папок писали Davil и Ti В любом случае, очевидно, что единственный, кто автору поможет - это Горбунов Олег Поскольку в коде начинающих программистов обычно имеется столько дыр, что только скрупулёзный аудит всего кода опытным специалистом и сможет помочь. А никакие отдельные советы проблемы не решат.