login  Naam:   Wachtwoord: 
Registreer je!
 Forum

beveiliging tegen vandalen

Offline cloudstrife - 22/01/2005 11:46
Avatar van cloudstrifePHP beginner Hoe kan je best je scripts beveiligen zodat niemand je site kan verpesten? bv ik heb nu al mijn input beveiligd met strip_tags() is dit hiervoor voldoende? Waar moet je hierbij nog opletten? Hoe kan je query's en zo gaan beveiligen?

4 antwoorden

Gesponsorde links
Offline remy - 22/01/2005 11:51
Avatar van remy PHP ver gevorderde wordwrap() is ook vaak wel handig, om te voorkamen dat er lange teksten komen die je site uitrekken
Offline Tuinstoel - 22/01/2005 11:53
Avatar van Tuinstoel PHP expert htmlspecialchars() kun je ook gebruiken. En ik zou in namen en email-adressen etcetera alleen [a-zA-Z0-9] toelaten, want vooral de ' enzovoort leveren gevaar op.
Offline numlockrond - 22/01/2005 12:44
Avatar van numlockrond Onbekend @Tuinstoel: als je dan addslashes gebruikt (of werkt met magic_quotes_gpc aan) dan zijn quotes niet echt gevaarlijk.

Verder moet je ook ids die je via een url meegeeft altijd controleren of het wel een getal is (je kunt ook intval() o.i.d. gebruiken) zodat je geen problemen krijgt met je querys.
Je kunt ook wel quotes om integer zetten in je query, zodat het invoeren van een string als id geen fouten oplevert, maar das niet zo netjes.
Offline twopeak - 22/01/2005 15:01
Avatar van twopeak Gouden medaille

PHP ver gevorderde		 basisfouten zijn:
informatie die via GET of POST variabelen (dus uit de url of uit een formulier) niet controleren op hun 'validity' (of ze juist zijn) en ze klakkeloos in je scripten zetten (dit kan ook betekenen dat je ze ergens opslaat zoals een database of een bestand)

een tweede fout is goevoelige informatie in cookies steken, die ervoor toelaat dat wie de cookie informatie heeft, zich kan voordoen als een ander

Nog een veelvoorkomende fout is wel je controles doen op de invoer of ze geldig zijn, maar niet op de informatie die vanuit een zogezegde veilige bron komt (zoals je database)
Dit kan leiden tot foutmeldingen, waarmee de "vandaal" meer informatie heeft over je server.

En dan is er nog steeds het punt van de beveiliging van mappen; laat niemand toe tot de mappen waartoe hij geen nood heeft (bv. templates, ...)

Als je even zoekt in de externe tuts, vind je een tutorial over web-hacking (hoe te beveiligen off course) van phpfreakz! is wel een degelijke tut.

Als al deze lekken waterdicht zijn, mag je redelijk gerust gaan slapen.
Maar helemaal gerust mag je nooit zijn (zoals onlangs werd ik door mijn phpbb board ge-defaced) dus regelmatig security news volgen (bv. secunia website) is een must als je volledig in het groen wilt zitten.
Gesponsorde links
Dit onderwerp is gesloten.
Actieve forumberichten
© 2002-2024 Sitemasters.be - Regels - Laadtijd: 0.186s