PHP सुरक्षा प्रश्न?

Question

मैं सिर्फ यह जानना चाहता था कि लेखों को स्वीकार करने वाले वेब पेज को बनाने के दौरान मुझे कुछ बुनियादी PHP सुरक्षा तकनीकों का उपयोग करना चाहिए?

मैं PHP के लिए बिल्कुल नया हूं और सोच रहा था कि जब तक मैं एक सुरक्षा विशेषज्ञ नहीं हूं तब तक किले को क्या पकड़ेंगे?

Answer 1

यह व्यापक है, शायद आपको इसे थोड़ा संकीर्ण करने का प्रयास करना चाहिए।

किस तरह की सुरक्षा? पासवर्ड के लिए? क्या आप कुछ सामान प्रतिबंधित करना चाहते हैं? एसक्यूएल इंजेक्शन? एचटीएमएल इंजेक्शन? क्रॉस डोमेन सुरक्षा?

Answer 2

पता करने के लिए बहुत कुछ है, और आपको जितनी जल्दी हो सके शुरू करना चाहिए।

एक के लिए, यदि आप लेख स्वीकार करते हैं (और शायद WYSIWYG का उपयोग करते हैं और HTML स्वीकार कर रहे हैं), सामग्री का विश्लेषण करने के लिए कुछ उपयोग करें और उन चीजों को तोड़ दें जो आपको XSS और इसी तरह के लिए कमजोर छोड़ सकते हैं।

एक उदाहरण HTML Purifier है।

Answer 3

उपयोगकर्ता द्वारा जेनरेट किए गए टेक्स्ट को स्वीकार करते समय विचार करने के लिए दो मोर्च हैं जिन्हें बाद में प्रदर्शित किया जाएगा।

सबसे पहले, आपको इंजेक्शन हमलों से अपने डेटाबेस की रक्षा करने की आवश्यकता है। इसके लिए एक सरल PHP फ़ंक्शन है: mysql_real_escape_string() फ़ील्ड मान के रूप में स्टोर करने के लिए इस स्ट्रिंग को पास करते समय आमतौर पर इंजेक्शन से अपने डेटाबेस की सुरक्षा के लिए पर्याप्त होगा।

वहां से, आपको अपने प्रदर्शन के बारे में सावधान रहना होगा, क्योंकि उपयोगकर्ता को HTML कोड अपलोड करने की अनुमति है, अन्य उपयोगकर्ताओं को पर उस कोड को प्रदर्शित होने पर बुरा काम कर सकता है। यदि आप सादे टेक्स्ट लेख कर रहे हैं, तो आप परिणामस्वरूप पाठ htmlspecialchars() कर सकते हैं। (आप शायद न्यूलाइन को
टैग में कनवर्ट करना चाहते हैं।) यदि आप इस साइट पर इस्तेमाल किए गए मार्कडाउन इंजन जैसे फॉर्मेटिंग समाधान का उपयोग कर रहे हैं, तो वे समाधान आमतौर पर इंजन के फ़ंक्शन के रूप में HTML स्वच्छता प्रदान करेंगे, लेकिन हो दस्तावेज पढ़ने और सुनिश्चित करने के लिए सुनिश्चित करें।

ओह, सुनिश्चित करें कि आप लेख सबमिट करने के लिए उपयोग किए गए अपने जीईटी/पोस्ट वैरिएबल को भी सत्यापित कर रहे हैं। यह कहने के बिना चला जाता है, और किए गए सत्यापन को आपकी साइट के तर्क के साथ क्या किया जा रहा है इसके अनुरूप होने की आवश्यकता होगी।

Answer 4

ठीक है, जैसा कि अन्य उत्तरों में उल्लिखित है, वहां कई अलग-अलग मोर्च हैं जिनमें आपकी PHP स्क्रिप्ट को समझौता किया जा सकता है।

यहां केवल एक जोड़े हैं:

• SQL Injection
• Cross site scripting

तरीके प्रत्येक से निपटने के लिए की एक संख्या हैं। यहाँ कुछ चीजों को देखने की हैं:

• Suhosin
• eval()

Answer 5

यह Drupal या CakePHP की तरह एक रूपरेखा का उपयोग करके शुरू करने के लिए बुद्धिमान हो सकता है।इस तरह आप दोनों सुरक्षा को लागू करने के तरीके से सीख सकते हैं और इस तथ्य का लाभ उठा सकते हैं कि यह पहले से ही किया जा चुका है। सीखने की अवस्था आपके स्वयं के प्रमाणीकरण तंत्र को रोल किए बिना पर्याप्त खड़ी है।

Answer 6

जब आपकी परियोजना सार्वजनिक उपयोग के लिए तैयार होती है, तो आमतौर पर त्रुटि_ रिपोर्टिंग (0) सेट करना एक अच्छा विचार है;

यह अधिक सुरक्षा प्रदान नहीं करेगा, लेकिन यह बुरे लोगों के लिए आपकी साइट के साथ संभावित सुरक्षा समस्याओं को खोजने में बहुत कठिन (आमतौर पर) बनाता है।

Answer 7

शायद दो सुझावों केवल चयन और मायने रखता है बनाने के लिए आप और अधिक सुरक्षित वेबसाइटों

• अपने डेटाबेस में दो उपयोगकर्ताओं को बनाने, केवल पढ़ने के लिए प्राप्त करने में मदद कर सकता है खाता, और खाते बारे में आप अपडेट, प्रविष्ट करता है या हटाता है क्या करना है जब ।

• आप, डेटाबेस में डालने या हटाने के लिए आदानों स्वच्छ है जब, उपयोग mysql तैयार बयान या मूल्यों उस पोस्ट के माध्यम से आने या इस तरह से मिलता है पर जोर:

  if(!empty($_GET["integer_like_id_value"]){ 
      $integer_id_value = (int)$_GET["integer_like_id_value"]; 
  }else{ 
      // that stuff seems not to be legit, die application, log error ? whatever 
      die(); 
  } 
  

Answer 8

Top 7 PHP Security Blunders