07. 11. 2006. | #21 |
old school
Expert
Datum učlanjenja: 29.04.2006
Poruke: 464
Hvala: 39
48 "Hvala" u 28 poruka
|
Pa to je i najsigurniji nacin. Ja uvek hardkodiram inkludovanja. Manje boli glava, kod nije sporiji i naravno, definitivno je daleko pregledniji.
Samo sto eto, neki zele da pisu sto manji kod , jer ih mrzi da kucaju (ponekad) par desetina puta include (require) |
08. 11. 2006. | #22 | ||
Direktor Kombinata
Invented the damn thing
Datum učlanjenja: 07.06.2005
Poruke: 2.669
Hvala: 44
119 "Hvala" u 64 poruka
|
Citat:
PHP kôd:
PHP kôd:
Citat:
Btw, ja bih od ovoga napravio klasu Prima dva parametra - odakle da pokupi ime stranice i gde su smeštene stranice. Dokle god je interfejs klase čitak bole me uvo šta je ispod haube. Tipa: PHP kôd:
__________________
activeCollab - Project Management and Collaboration Tool iz domaće kuhinje | area51.rs - Blog Poslednja izmena od Ilija Studen : 08. 11. 2006. u 00:27. |
||
08. 11. 2006. | #23 |
Ivan Dilber
Sir Write-a-Lot
|
pa, uvek moze da se napravi zaseban ini fajl sa spiskom fajlova za include.. tako izbegavas editovanje koda...
__________________
Leadership is the art of getting people to want to do what you know must be done. |
08. 11. 2006. | #24 | ||
Psychedelictrance freak
Wrote a book
|
Hm, vidim da je ovde iznete dosta pametnih stvari ali ajde da probam da sumiram ...
Prvo i najvaznije pravilo koje svi treba da zapamtimo je: Filtrirati ulaz i escajpapovati izlaz. Sto znaci da ulazni podaci mogu biti samo oni koje nasa aplikacija moze i sme da koristi. U konkretnom slucaju, najpamentnije resenje sa gledista sigurnosti je koriscenje switch-a. Tj za svaki zahtev postoji deo koda koji barate njime. Sve ostale metode se mogu lakse ili teze exploitovati, dodavanjem specijalnih karaktera ili losom konfiguracijom servera. Dalje npr, ako su nam potrebni samo brojevi u nasam scriptu koje dobijamo preko GET-a onda ogranicite te varijable na brojeve. Ne ostavljajte mesta za nehendlovane situacije. Sto se tice izlaza, uvek treba prikazivati samo ono sto smemo da prikazemo a to znaci da sav kod koji moze da se izvrsi u browseru usera a ne treba biti izvrsen treba sanitizovati. Za pocetak je dovoljno poslusati ovaj savet gore jer cete se tim nacinom kodovanja osloboditi vecine XSS, CSLF, SQL injectiona, Directory Traversal, include propusta ... Neko je vec rekao da treba forsirati POST sto je delimicno tacno jer ce tako skinuti scriptkiddie sa vrata ali to ipak nije pravo resenje. Citat:
Neko je pomenuo mod_security, a takodje i neka podesvanja u samom php-u ... Sve ovo resava neke sigurnosne probleme ali poenta je napisati siguran kod bez pomocnih sredstava jer u svakom trenutku moze doci do promene konfiguracije servera. Citat:
http://phpsecurity.org/ http://phpsec.org/projects/guide/sr/ E kad ovo predjete onda krece pravo zezanje Ajax, CSRF, i sl ...
__________________
Testiranje bezbednosti web aplikacija |
||
08. 11. 2006. | #25 | |
Domagoj Horvat
Expert
|
Citat:
__________________
postoje ludosti bez kojih je nemoguce ljudsko dostojanstvo |
|
08. 11. 2006. | #26 | ||
Direktor Kombinata
Invented the damn thing
Datum učlanjenja: 07.06.2005
Poruke: 2.669
Hvala: 44
119 "Hvala" u 64 poruka
|
Citat:
Pazi ovo, samo malo discipline i zdravog razuma: u /pages direktorijum samo stavljaš one stranice koje želiš da budu dostupne kroz index.php, nikakve druge gluposti. To je prvo i poslednje pravilo. Skripta radi ostatak. Off Topic: Citat:
TO je izuzetno praktična stvar dokle god ga koristiš sa osnovnom dozom zdravog razuma, a trudim se da verujem da je prosečan PHP developer ima Bah, i evo mene opet u ovakvim diskusijama i sa istim tonom. A obećao sam da neću više
__________________
activeCollab - Project Management and Collaboration Tool iz domaće kuhinje | area51.rs - Blog Poslednja izmena od Ilija Studen : 08. 11. 2006. u 12:10. |
||
08. 11. 2006. | #27 | |
Ivan Dilber
Sir Write-a-Lot
|
Citat:
PHP kôd:
__________________
Leadership is the art of getting people to want to do what you know must be done. |
|
08. 11. 2006. | #28 |
Milorad Tošić
Certified
Datum učlanjenja: 11.04.2006
Lokacija: Niš
Poruke: 87
Hvala: 1
4 "Hvala" u 4 poruka
|
Uhhh... ovo se zove serija konstruktivnih odgovora... hvala puno svima... rešio sam problem
__________________
http://blog.webex.rs |
08. 11. 2006. | #29 | ||
Direktor Kombinata
Invented the damn thing
Datum učlanjenja: 07.06.2005
Poruke: 2.669
Hvala: 44
119 "Hvala" u 64 poruka
|
Citat:
Citat:
PHP kôd:
PHP kôd:
Zip...
__________________
activeCollab - Project Management and Collaboration Tool iz domaće kuhinje | area51.rs - Blog Poslednja izmena od Ilija Studen : 08. 11. 2006. u 18:58. |
||
08. 11. 2006. | #30 | |
expert
Expert
|
Citat:
...ili okacite na Host011 tracker
__________________
|
|
|
|
Slične teme | ||||
Tema | Početna poruka teme | Forum | Odgovori | Poslednja poruka |
Pokusaj hakovanja ili... | mLAN | Sva početnička pitanja | 3 | 05. 12. 2010. 23:41 |
zaštita fotografija na web-u | japan | Web aplikacije, web servisi i software | 6 | 14. 12. 2007. 18:16 |
Zaštita od DDoS napada | LiquidBrain | Web Hosting, web serveri i operativni sistemi | 16 | 05. 08. 2007. 19:52 |