login  Naam:   Wachtwoord: 
Registreer je!
 Forum

Algemene beveiliging site

Offline luchtpost - 22/06/2008 17:31 (laatste wijziging 22/06/2008 17:32)
Avatar van luchtpostPHP interesse Beste sitemasters
Mijn site is bijna klaar en nu rest mij alleen nog het beveiligen ervan. Bestaat er een goede tutorial over het beveiligen tegen de meest voorkomende en gevaarlijkste criminaliteiten?
mvg

12 antwoorden

Gesponsorde links
Offline JoeyK - 22/06/2008 17:40
Avatar van JoeyK Nieuw lid Wat voor site heb je een meestal is het standaard al een beetje beveiligd word moeilijk hacken hoor 
Offline dieterke - 22/06/2008 17:53
Avatar van dieterke Nieuw lid heb je veel invoervelden? je moet vooral zorgen dat je via de invulvelden, ook select velden etc. niet de broncode van je paginas kan bekijken en niet in je database kan klooien, dan denkek dat voor de rest je site al direct vrij veilig is ...
Offline Godlord - 22/06/2008 17:55
Avatar van Godlord PHP gevorderde http://trouby.digitized.nl/hackingGuide.pdf (Aanrader).

Als je dat al leest kom je ver.

Wil je ook je accounts, etc. zwaar beveiligen dan rest er enkel nog een SHTTP verbinding aangezien dat moeilijk te beveiligingen is op HTTP .
Offline Wim - 22/06/2008 18:33
Avatar van Wim Crew algemeen
dieterke schreef:
heb je veel invoervelden? je moet vooral zorgen dat je via de invulvelden, ook select velden etc. niet de broncode van je paginas kan bekijken en niet in je database kan klooien, dan denkek dat voor de rest je site al direct vrij veilig is ...


mijn broncode mogen ze gerust lezen. Kan je trouwens altijd. Desnoods doe je zelf een GET-commando (via een eigen gecreerd socket) en dan heb je de bron nog steeds (wat overigens geen kwaad kan).

Ben jij zo echt iemand die mijn rechter muisknop gaat vervangen door zo'n irritant alert kadertje? Dergelijke websites bekijk ik zelfs niet, dan gaan ze direct dicht...

ontopic:
PHP.net: mysql_real_escape_string
en natuurlijk altijd zorgen voor goeie controles (geen lege velden, controleren of een waarde die numeriek moet zijn ook wel degelijk numeriek is, ...)
Offline dieterke - 22/06/2008 18:36
Avatar van dieterke Nieuw lid ik bedoel niet de gewone html code die kan geen kwaad die kan je altijd weergeven ook met die irritante (dat vind ik ook trouwes ) alertjes maar soms kan je door een lek je php code lezen, en dit is niet de bedoeling neem ik aan ...
Offline Ultimatum - 22/06/2008 18:51
Avatar van Ultimatum PHP expert Je kan nooit de php code zien via een browser, tenzij het een .phps pagina is of als de php server niet fatsoenlijk draait. Maar vor de rest zou een php pagina altijd geparsed moet worden.
Offline dieterke - 22/06/2008 19:01
Avatar van dieterke Nieuw lid nope niet als je gebruik kan maken van een lek in je code, als ja dan de code van een pagina in een variable kan zetten, en die kan outputten via een functie (ze schiet me nu niet te binnen) dan kan je zo de code zien ...
Offline vinTage - 22/06/2008 19:07
Avatar van vinTage Nieuw lid Dat heeft niks met de inputs te maken, maar wel met de outputs.
Haal je output door htmlentities en je bent alweer een pak verder.

Als je ergens vergeet te htmlentitieën, dan kan iemand bijvoorbeeld een iframe met evil source opgeven.
Offline Nanon - 22/06/2008 19:07
Avatar van Nanon PHP interesse Gebruik mysql_real_escape_string() tegen SQL injecties. Overigens stop spamfilters op je formuliertje, want via FireBug en een javascript-code kan ik dan zo duizenden berichtjes achter laten (': Verder geen belangrijke data (zoals de rechten) in een cookie of sessie stoppen (:
Offline luchtpost - 25/06/2008 09:04 (laatste wijziging 25/06/2008 13:21)
Avatar van luchtpost PHP interesse Dankjewel Godlord!

EDIT: @ Nanon: wat bedoel je concreet met een spamfilter? Waar kan ik iets dergelijks vinden?
Offline marten - 25/06/2008 13:22
Avatar van marten Beheerder Captcha codes bijvoorbeeld
Offline Koen - 25/06/2008 13:37
Avatar van Koen PHP expert zorg ervoor dat ze op geen enkele manier shells kunnen uitvoeren op je website, hierbij denk ik aan dingen zoals:
php code - Bekijk de code zonder highlighting - Klap code in 
  1. <?php
  2. include($_GET['p']);
  3. ?>

En dat er geen PHP bestanden kunnen worden geüpload, daar kan je veel kwaad mee doen 
En het is handig om safe_mode op te zetten 

Succes
Gesponsorde links
Dit onderwerp is gesloten.
Actieve forumberichten
© 2002-2024 Sitemasters.be - Regels - Laadtijd: 0.199s