PHP sıfırdan bir CMS kurduk ve bunu daha güvenli alma ile biraz yardıma ihtiyacım var. Olarak takip Temelde benim tüm önemli dosyaları düzenlenmiştir:
/var/www/TESTUSERNAME/includes/val.php
Bu benim değerlerin ele alıyorum insanları durdurmak için güvenli bir yolu var mı?
Bu dosyada sorguyu çalıştırmak sonra bir veritabanında bu değerleri depolamak için daha iyi olurdu?
Ayrıca beni daha iyi benim uygulamasının güvenliğini sağlamak için bazı ipuçları verebilir?
Her şeyden önce, bu less vulnerable, ayrıca dizinleri korumak için htaccess dosyasını kullanabilirsiniz olur bu şekilde php installation yapılandırın.
Ne diğer güvenlik konuları hakkında?
XSS
CSFR
SQL Injection
Session hijacking
Session Fixation
etc
etc
Eğer veritabanında değerleri koyarsanız, o zaman SQL Injection hakkında endişelenmenize gerek. Eğer parametrized quires kullanmıyorsanız, o zaman SQL Injection ve veritabanına değerleri taşıma ile ciddi bir sorun olabilir bu nedeniyle artan saldırı yüzeyi kötü bir fikir olabilir. MySQL SQL enjeksiyon web uygulaması "DOSYA" ayrıcalıklara sahip değil emin olun, val.php gibi dosyaları okumak için kullanılabilir. Ayrıca ayrıcalıklar bu dosya üzerinde kurulum düzgün olduğundan emin olmak gerekir. chmod 750, bu dosyanın bir iyi biri, son sayı 0 sizin veya grubunda olmayan herkese tüm erişimi reddeder.
val.php değerleri tutarak Eğer hala bu gibi dizin geçişi güvenlik açıkları hakkında endişelenmenize gerek:
print file_get_contents("/var/www/whatever/".$_GET['FILE_NAME']);
Sizin kod olsa gidin ve size okuma ve dosyalara yazma nerede dikkat. Eğer kullanıcı kontrol değişkenleri geçen olmadığından emin olun. Eğer almak istiyorsanız bir saldırganların PHP koruyucu ve ben okuma A Study In Scarlet tavsiye dosyalar okunabilir nasıl başka yollar öğrenme.