可能重複:
What security issues should I look out for in PHP
What should a developer know before building a public web site?提示,使我的網站黑客攻擊的證據
項目我工作已接近完成,近下水,但我想,以確保它是防黑客的,因爲我的朋友/合作伙伴認爲我們有一些敵人可以僱傭聰明的黑客來製作網站。
如果在HTTPS下安全地運行我的站點,將有所幫助,如果我有很多用戶,它會在CPU上很難嗎?
請告訴我所有需要的安全檢查。
一些建議:
1)確保並抑制錯誤;黑客可以通過查看它們瞭解很多關於您的應用程序的信息
2)在您的服務器上爲您的Web應用程序設置了良好的權限;如果黑客能夠危害服務器上的進程,他們將難以使用/訪問其他文件夾/文件
3)我不知道https有助於抵禦黑客,除非它指向它將隱藏在客戶端和服務器之間傳輸的數據(這樣,實際上取決於你的應用程序在做,以它是否是必要的)我想確保
是黑客防
你不能。
我們有一些敵人那些可以僱傭黑客智能使網站下來
你就完蛋了。
請告訴我所有需要的安全檢查。
這是一個較大的話題,即使是一個SO回答應該合理地涵蓋。
絕對正確......如果OP關心安全性,他/她應聘請懂得「防黑客」的專業人員是荒謬的。 – alecwh 2010-06-19 21:57:33
遠離eval和exec,除非你知道自己在做什麼,每次使用mysql_real_escape_string時,任何可能受第三方影響的變量都將被放入查詢中,使用正確的文件/文件夾權限,不要不要讓include()使用用戶數據(獲取,發佈,cookie數據)......如果你認爲有人會破解你的網站,並且在這裏發表一篇文章,提出這樣一個模糊的問題,它會發生,時期。如果這是一個大問題,你需要聘請某人進行安全審計。
到目前爲止,每個人都提出了一個很好的觀點 - 傾聽他們。還把error_reporting(0);在你的代碼中,正如馬修建議的,例如,取代了在網站中查找漏洞的最簡單方法之一。
修改php.ini以將設置包含在下面的列表中。這不是完整的清單,但應該足夠公平。
register_globals = Off
allow_url_fopen = Off
display_errors = On
log_errors = On
html_errors = Off
expose_php = Off
safe_mode = On
disable_functions = show_source,
system,
shell_exec,
passthru,
exec,
phpinfo,
popen,
proc_open
只有這樣才能使其黑客證明是不會在互聯網上:P – Craig 2010-06-19 18:43:54
黑客證明呃?你會被譽爲世界之王,你就是這樣做的! – Laz 2010-06-19 19:57:30
安全不是可以被添加的東西。 – 2010-06-21 11:54:02