Jump to content
  • 0

Как ломаются сайты?


Veseloff
 Share

Question

Встал вопрос о защите сайта - заказчик очень интересуется какие меры приняты. На данный момент есть следующее:

1. Проверка данных из адресной строки (использую ЧПУ, но все равно проверяю регуляркой на наличие "левых" символов)

2. Не разрешаю простые пароли - длина от 8 символов, обязательно буквы + цифры.

3. Во всех формах htmlspecialchars перед записью в базу.

4. Каптча при регистрации (просто хорошая картинка, которую еще ни разу пока боты не пробивали на моей памяти)

5. Если пароль введен неправильно 5 раз - блок айпишника на 30 минут (для защиты от перебора паролей)

6. 755 права на папках

7. Надёжный и проверенный хостер.

На этом все. Какие вообще методы используются для взлома и какие меры (кроме описанных выше) необходимо принять для защиты?

Link to comment
Share on other sites

3 answers to this question

Recommended Posts

  • 0

3. Во всех формах htmlspecialchars перед записью в базу.

Вообщето для базы есть другие экранирующие функции.

2. Не разрешаю простые пароли - длина от 8 символов, обязательно буквы + цифры.

Я такие сайты сразу на ня шлю. Какой-то умник разработчик должен за меня решать, какой у меня пароль? Почему не 20 символов с обязательными знаками в utf-8? Совсем оняели.

Link to comment
Share on other sites

  • 0
2. Не разрешаю простые пароли - длина от 8 символов, обязательно буквы + цифры.

Я такие сайты сразу на ня шлю. Какой-то умник разработчик должен за меня решать, какой у меня пароль? Почему не 20 символов с обязательными знаками в utf-8? Совсем оняели.

поддерживаю

Link to comment
Share on other sites

  • 0
2. Не разрешаю простые пароли - длина от 8 символов, обязательно буквы + цифры.

Я такие сайты сразу на ня шлю. Какой-то умник разработчик должен за меня решать, какой у меня пароль? Почему не 20 символов с обязательными знаками в utf-8? Совсем оняели.

Это бесспорно для большинства сайтов. Но когда в результате плохого пароля юзер может потерять реальные деньги (как в данном конкретном проекте) я предпочитаю избегать претензий со стороны пользователей и навязываю им нормальный пароль - это, в первую очередь, в их же интересах.

P.S. В тему ответы будут?

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Answer this question...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

 Share

×
×
  • Create New...

Important Information

We have placed cookies on your device to help make this website better. You can adjust your cookie settings, otherwise we'll assume you're okay to continue. See more about our Guidelines and Privacy Policy