Защита ресурса

[IceBars]

Я пишу с нуля форум на пшп, помогите плиз кто чем может в обеспечении безопасности, а то мало чего знаю в этом плане. Как сделать чтобы форум был относительно защищен, какие настройки надо сделать и что делать не нужно?

[LokiDi L0ck]

IV. Безопасность (Manual)

Вопросы безопасности (phpclub)

[IceBars]

Ну практически все это я уже знаю. А что можно сделать чтобы с хитрецой защитить ресурс от хакеров среднего класса?

[LokiDi L0ck]

Что за абстрактные вопросы.

Могу ответить так же абстрактно. Как?.. нужно сесть за компьютер, и начать хитро защищать от хитрых атак.

[IceBars]

Какие есть способы защиты кроме приведенных в мануалах? Хакеры наверно умеют обходить то что в мануале. Наверняка что-то можно сделать еще.

Такой вот вопрос: я где-то читал что все переменные окружения сейчас можно подделать с помощью телнета, дак что теперь не проверить даже по какому адресу вызван скрипт, с какой страницы пришли данные с формы, и даже айпи и методы передачи данных?

Еще вопрос: как можно пропалить айпишник, но чтобы не общими методами а чтобы через прокси можно было пропалить.

[LokiDi L0ck]

я где-то читал что все переменные окружения сейчас можно подделать с помощью телнета

Если вспомните где, скиньте ссылку.

Еще вопрос: как можно пропалить айпишник, но чтобы не общими методами а чтобы через прокси можно было пропалить.

Через гугл за пару секунд наш?л несколько статей. А вам что мешает)

Атаки, уязвимости сервера (зависящего от хостера) и скриптов (программера) бывают разные. Если учесть, что каждый настраивает сервер по-своему, пишет скрипты по-своему и соответственно производит атаки, то конкретных ответов вы не получите. Есть некие общие положения, которых следует придерживаться и о них уже написано море книг и статей (например мануал, который вы уже читали) (через поисковики вс? хорошо находится).

А давать советы по обеспечению безопасности вашего конкретного "будущего" форума, никто не будет. Т.к. никому не хочется разбираться в настройках вашего хостера и в организации ваших ещ? ненаписанных скриптов.

[Maslakoff]

В статьях должно быть все написано. Недавно прочитал про то, чтобы проверяли правильность введенного пароля, а не глупо сували поиск его в БД. Можно подделать запрос. Т.е. проверяйте переменные на ' и "... ну и запросы соответственно.

А так.... если ты прямо кодиш, то и код твой будет трудно взламываемым. А если переменные не объявлены в начале, файлы открыты извне... то извините, тут вам никакие статьи не помогут.

[S ... (delete)]

Т.е. проверяйте переменные на ' и "... ну и запросы соответственно.

Надо экранировать такие символы функцией addslashes и не только в пароле, а во всех данных полученных от пользователя. А вообще, пароль лучше кодировать с помощью md5, тогда в н?м и экранировать ничего не надо.

Плюс использование таких функций, как htmlspecialchars, intval, и прочих увеличат стойкость скриптов от хакерских атак.

Например, можно написать функцию, для получения числа из $_GET и вс? время пользоватся только ей, тогда можно быть точно увереным, что у вас будет число, а не что-то другое. Вместо die, нужно записывать информацию в лог,наприм ip откуда пришли неверные данные.

// Получаем число из $_GET
function input_get_num($key, $default = null)
{
 $num = isset($_GET[$key]) ? trim($_GET[$key]) : $default;

 if($num === null)
 {
 die('ERROR: Empty parameter "'.$key.'"');
 }

 if(!is_numeric($num))
 {
 die('ERROR: Parameter "'.$key.'" must be a numeric');
 }

 return $num;
}

// Получаем строку из $_GET
function input_get_str($key, $default = null)
{
 $str = isset($_GET[$key]) ? trim($_GET[$key]) : $default;

 if(!is_string($str))
 {
 die('ERROR: Parameter "'.$key.'" must be a string');
 }

 if(empty($str))
 {
 if($default !== null)
 {
 $str = $default;
 }
 else
 {
 die('ERROR: Empty parameter "'.$key.'"');
 }
 }

 return htmlspecialchars($str,ENT_QUOTES);
}