Считайте меня параноиком, но меня очень волнует вопрос безопасности моих скриптов. Вот список того, на что нужно обратить внимание (из того что я знаю) SQL инъекции; Mail инъекции; Cross Site Scripting; Не при каких условиях не доверять данным пользователя, и максимально проверять данные на корректность. Чем еще можно продлить этот список? Какая литература есть по данному вопросу (наиболее полно отражающее данную тему). Как вообще проверить свой скрипт на надежность?
PHP-инъекции... - злобная вещь, если получается выполнить... Защита - Проверка на различные символы (в частности на символ "=") В одном чате вводд символа "=" в поле "ник/нэйм" приводил к прохождению авторизации и получению прав администратора. Так же JAVAscript-инъекции... Вообще любые инъекции какого-либо кода (который реально может выполняться на серваке)... Для защиты необходимо постоянно следить за ковычками, слэшами и т.д. , переводить их в эквиваленты... То-есть юзать строковые функции... Так же приветствуется использование разных паролей, например в системе авторизаци сайта один пароль, а на фтп, где сайт лежит, уже другой... если ещё что-нибудь придумаю на трезвую голову - напишу
Этож какой кривой чат нужно было написать... Это ты о чем? Постоянно - не надо. Надо следовать одному наипростейшему правилу: addslashes() - при добавлении данных в БД, stripslashes()+htmlspecialchars() - при выводе в браузер. Ну, может я немножечко утрирую...
Hight, защита это не проверка символов или их отсутствия, это правильная работа с полученными данными. Не имеет значения, какие в них содержатся символы, пусть это Js или ПХП кода или HTML injection данные должны быть обработаны таким образом, чтобы исключить возможность их вредоносного воздействия. Под обработкой я понимаю не всевозможное фильтрование символов? а правильное сохранение, отображение и безопасное оперирование данными, с сохранением их целостности и адекватности (если это предусматривается бизнес логикой).
Ещё стоит обратить внимание на электромагнитное излучение от задней стороны системного блока ))) В системе регистрации от роботов отбиваться при помощи картинок, созданных PHP... Почитать - securitylabs.ru (не на правах рекламы)
ONK Ну всё правильно, я тоже так думаю... Только то, что ты сказал, является просто здравым смыслом и по-моему имеет малое отношение к вопросу, поставленному Evgeny...