П О Р Т А Л                            
С Е Т Е В Ы Х                          
П Р О Е К Т О В                        
  
Поиск по сайту:
                                                 
Главная

О проекте

Web-мастеру
     HTML & JavaScript
     SSI
     Perl
     PHP
     XML & XSLT
     Unix Shell

MySQL

Безопасность

Хостинг

Другое








Самое читаемое:

Учебник PHP - "Для Чайника".
Просмотров 174923 раз(а).

Иллюстрированный самоучитель по созданию сайтов.
Просмотров 71831 раз(а).

Учебник HTML.
Просмотров 72007 раз(а).

Руководство по PHP5.
Просмотров 42614 раз(а).

Хостинг через призму DNS.
Просмотров 49053 раз(а).

Подборка текстов стандартных документов.
Просмотров 43032 раз(а).

Учебник PHP - Самоучитель
Просмотров 49375 раз(а).

Документация на MySQL (учебник & справочное руководство)
Просмотров 49606 раз(а).

Внешние атаки...
Просмотров 40156 раз(а).

Учебник PHP.
Просмотров 35191 раз(а).

SSI в примерах.
Просмотров 26500 раз(а).



 
 
| Добавить в избранное | Сделать стартовой | Помощь




Руководство по PHP
Пред. След.

Глава 30. Данные, введенные пользователем

Наиболее опасные дыры во многих PHP-скриптах возникают не столько из-за самого языка, сколько из-за кода, написанного без учета соответствующих требований безопасности. Как следствие, вы всегда должны выделять время на исследование разрабатываемого участка кода, чтобы оценить потенциальную угрозу от ввода переменной с нестандартным значением.

Пример 30-1. Потенциально опасное использование переменных

<?php
// удалить файлы из домашней директории пользователя...
// а может, еще что нибудь?
unlink ($evil_var);

// записать в лог-файл выполняемое действие...
// может быть, даже /etc/passwd?
fwrite ($fp, $evil_var);

// выполнение тривиальных действий... или rm -rf *?
system ($evil_var);
exec ($evil_var);

?>
Вы должны тщательно проверять ваш код и быть абсолютно уверены в том, что все данные, передаваемые веб-браузером, проверяются надлежащим образом. Попробуйте ответить для себя на следующие вопросы:

  • Будет ли данный скрипт воздействовать исключительно на предполагаемые данные?

  • Правильно ли будут обработаны некорректные или нестандартные данные?

  • Возможно ли использование скрипта не предусмотренным способом?

  • Возможно ли его использование в сочетании с другими скриптами в негативных целях?

  • Будет ли каждая транзакция корректно логирована?

Ответив на эти вопросы во время написания скрипта, а не после, вы, возможно, предотвратите последующую доработку скрипта в целях повышения его безопасности. Начиная разработку с этих вопросов, вы не гарантируете полную безопасность вашей системы, но сможете значительно повысить её.

Вы также можете предусмотреть отключение таких конфигурационных опций, как register_globals, magic_quotes и некоторых других, которые могут приводить к сомнениям относительно происхождения или значения получаемых переменных. Использование при написании кода режима error_reporting(E_ALL) может помочь, предупреждая вас об использовании переменных до инициализации или проверки (что предотвратит работу с данными, отличныи от ожидаемых).


Пред. Начало След.
Использование глобальных переменных (Register_Globals) Уровень выше Magic Quotes


Если Вы не нашли что искали, то рекомендую воспользоваться поиском по сайту:
 





Copyright © 2005-2016 Project.Net.Ru