SQL Enjeksiyon ve XSS saldırıları hem de (addslashes, böylece "" etiketleri kaldırıp) kodunuza gidiyor tüm bilgileri ayrıştırma tarafından çözülür; Magic tırnak öykünme ve register_globals kapalı benim açımdan gelen sorunlar çözüldü. Tam olarak ne zaman bilmiyorum, dikkatli olun, ama magic_quotes kalktı olacak böylece güvenmiyoruz.
Peki onlar ne diğer tehditler nelerdir? Benim deneyim, en yaygın insan hataları kimlik ilişkilidir. Bu kullanıcı oturum olmadığı anlamına gelmez, ancak bir kullanıcı diğer kullanıcılar için / yazma bilgi okumak anlamına gelir. ? Eğer böyle bir silme linki gördüklerinde Yani: index.php page = görüntüleri & action = sil & id = 2, başka bir id ile deneyin, başka bir kullanıcının görüntü. Bir hata sözler "değil görüntü" ya da bir şey almak gerekir. Bunu kontrol etmek çok çok zordur, bu yüzden geliştirici deneyimi saymak gerekir.
Ben ikinci büyük sorun koduna ancak sunucu ile ilgili değildi. FTP şifreleri virüsler (IFrame virüsü ve diğerleri) tarafından çalındı, ya da sunucu çeşitli kaba kuvvet yöntemini kullanarak hacklendi.
Sonuç: Eğer SQL Enjeksiyon ve XSS saldırıları için kontrol eminseniz, yapmanız gereken son şey kimlik sorunu çözmek olduğunu (bir kez daha, kimlik doğrulama / değiştirmek olsun bilgi sizindir anlamına gelir). İnsanlar güvenlik sorunları hakkında biraz paranoyak olma eğilimindedir, ancak en yaygın kesmek geliştiricinin hata değildir.
Umarım bu yardımcı olur;
Best Regards,
Gabriel
