Sécurité PHP / MYSQL - Où commencer?

Cette question est répète et couvre MySQL attaques d'injection (une des préoccupations les plus courantes. Cette question est également bien documenté et couvre bien les attaques XSS (Cross Site Scripting).

Enfin, apprenez-vous sur PHP.ini et comment la configurer et ce qui est effectivement ouvert / fermé et marche / arrêt. Un bon hôte sera, par exemple, n'allumera jamais à enregistrer les globaux mondiaux, mais vous devriez au moins savoir ce que c'est et pourquoi de le vérifier. Security PHP possède des ressources à ce sujet et de nombreuses autres préoccupations de sécurité PHP.

Je vais suggérer deux choses:

1. Assurez-vous register_globals est désactivé.
2. Utilisez Préparation des déclarations .

PHP pourrait ne pas être le meilleur début. Surtout si vous êtes en grande partie rouler à la main, votre propre code. Cela ne tient pas votre main avec des problèmes de sécurité. (FD: Je souhaite que PHP disparaîtrait pour diverses raisons.)

Mais certaines règles générales:

• Ne faites pas confiance à rien qui vient de l'extérieur. Supposons toujours que l'utilisateur est une secousse qui essaie de casser votre application. La plupart d'entre eux ne seront pas, bien sûr, mais il sera éventuellement celui qui est. Juste parce que vous avez donné au navigateur un contenant A, B et C ne signifie pas que vous obtiendrez une de ces récupérations. JavaScript n'est pas une garantie de rien. Les référenciers peuvent être facilement façonnés. Les données postales peuvent être facilement trutées. Les zones de texte peuvent contenir n'importe quel caractère, pas seulement celles que vous attendez.
  ne pas copier-coller le code des autres en production si vous n'êtes pas sûr de savoir comment cela fonctionne. Vous n'avez aucune idée de combien d'œil l'auteur a pour la sécurité. Dans mon expérience, PHP Copyptasta en particulier semble être moins fiable mais plus fréquemment réutilisé aveuglément.
  Ne vous faites pas confiance pour effectuer le même rituel à des dizaines de lieux différents. Oui, mysql_real_escape_string () va corriger l'injection SQL, mais vous devez alors vous rappeler de l'utiliser partout. Cela crée beaucoup d'endroits où vous pourriez faire une erreur et oublier votre rituel qui s'échappe. Utilisez des déclarations préparées à la place et le problème disparaît entièrement . Un autre exemple: pylônes (une framework python) repose sur ses modèles afin que toute variable est échappée HTML, sauf si vous ne le demandez pas explicitement. XSS n'est plus un problème et je n'ai jamais à vous soucier de s'échapper manuellement tout ce que j'imprime.

  ---

  0 commentaires

  ---

  1
  votes

  Chris Shiflett est le gars Go-to Cher sur la programmation et la sécurité PHP:

  • http://phpsecurity.org/ pour son livre "Sécurité essentielle PHP"
  • http://shiflett.org/ pour son site web, blog, etc.
  • il est Parler chez PHP Codeworks en Sept / OCT.

  ---

  0 commentaires

  ---

  1
  votes

  Si vous avez un certain temps, vous pourriez jeter un coup d'œil aux diapositives utilisées par Stefan Esser lors de son Conférence à la conférence PHP néerlandaise Il y a quelques mois, quel titre était" Cours d'accident de sécurité PHP pour débutants ".

  Il y a un couple de pdf:

  • Partie I - Introduction
  • Partie II - XSS
  • Partie III -CSRF
  • Partie IV - Security SQL
  • Partie V - Sécurité de la gestion de session
  • OWASP Site Web < / p>

  ---

  0 commentaires

  ---

  Articles qui pourrait vous intéresser :

  Pourquoi est-ce que j'obtiens une erreur laravel lors de la création d'un nouveau projet?

  ---

  Select2 ne s'affiche pas correctement dans le mode bootstrap

  ---

  Laravel Echo n'écoute pas

  ---

  La validation de la demande de formulaire ne fonctionne pas. Il charge juste la page d'accueil dans Postman

  ---