Debat
|
Hej Amino |
|
Hej Kasper Det er ikke fedt at blive hacke men det er jo ikke nåde du 100% kan komme unden om. Men til at start med er det måske en ide og se på sikkerhede i dit script samt valt af oplysninger. Men hvis du ønsker det kan jeg godt se lidt på din sikkerhed.. smid en pb til mig.. |
No offense ... en "rigtige" webudviklere kan finde ud af at lave sikre websites ... misforstå mig nu ikke, det er fedt at du er kommet til den konklusion at du ikke selv har kompetencerne til at sikre dit arbejde - men det ér altså et spørgsmål om kompetencer, eller mangel på samme. Hvis jeg skulle gøre din side sikker ville resultatet sikkert være at skrive en stor del af det om, på sigt kan det simpelthen ikke betale sig at bruge dårlige webkodere - så jeg vil bestemt anbefale dig at arbejde på selv at lære at sikre dine sider. Måske hyre en dygtigere programmør end dig selv til at hjælpe med at gennemgå noget af din kode. Men kort og godt så er der et par simple regler: - Stol aldrig på brugerens input, du skal kontrollere alt input og sikre dig at det ser ud som du forventer og _aldrig_ sende input fra brugere videre i form af f.eks. databasekald tilgang af filer eller system kommandoer. - Upload af filer ... sørg for at tjekke de filer brugeren uploader er det format du ønsker. - Brug en sikker webhost, privilegie seperation og krypteret fil-upload er et must. - Sørg for at fil-rettighederne er sat fornuftigt op. Og så kan du jo også prøve "How to secure php webpages" på google :-) |
|
En smule paranoia er en god idé her. Jeg mindes at have hørt en historie om en programmør, som kodede et af de mest brugte e-mail programmer (til Linux mener jeg), der tog paranoia til et helt nyt niveau. Intet i hans program stolede på noget som helst andet - ikke engang moduler som var en del af programmet selv. Alle argumenter til alle funktioner blev kontrolleret hver gang, for at sikre at kun forventede oplysninger fik lov til at komme igennem. Du behøver ikke gøre det så ekstremt, men som Mikkel skriver, så er det en god start ikke at stole på noget som helst der kommer fra http requesten. Sørg for at bruge parameteriserede queries til databasen, og kontroller hver parameter for ugyldige tegn. Der findes en masse smart i PHP til det allerede - det gjorde der ihvertfald da jeg selv kodede PHP for nogle år tilbage. Sørg for at hashe alle adgangskoder du gemmer i databasen. Beskyt dig mod cross-site request forgery. Ja, der er en masse kendte typiske sårbarheder, som du absolut bør kende til, og kende løsningen på i dit valgte programmeringssprog. Alt sammen kan slås op på f.eks. Google eller i bøger henvendt til web sikkerhed. Hvis du virkelig vil være god til at sikre dig, så ville det være rigtigt godt at lære de teknikker at kende, som hackere bruger, til at skaffe sig adgang til dine websider. Hvis du har nogle kammerater, som også programmerer, kan det være en fordel at sætte sig sammen og lave en lille konkurrence ud af at bryde ind i hinandens systemer. På den måde får i en masse god øvelse i at finde huller. Der findes også mange gode kilder på nettet omkring dette og det er også muligt at finde kurser i det rundt om i landet. Jeg er desuden enig i Mikkel i at en web udvikler altså godt kender de mest basale teknikker til at lave sikre web applikationer, så jeg ville nok droppe den betegnelse indtil videre. Vær også opmærksom på, at laver du websider for andre, så kan du være ansvarlig for tab som følge af usikkerheder i det software du har udviklet. Med venlig hilsen |
Nikolaj Dam Larsen, selvstændig med Excolo Solutions
Professionel .NET web udvikling og konsultation.
Ikke kun - Slet ikke.... Det er også et spørgsmål om at kende, og have kontrol over, det miljø du kører i. Hvad fa.... hjælper en sikker PHP side, hvis ikke du kan være sikker på fortolkeren? |
|
Hej. Kan du give nogle links til de sider du har fået hacket? husk altid at sanitize (rense) POST og GET inputs i forbindelse med database håndtering. Læs evt. her: http://dk1.php.net/mysql_real_escape_string på denne måde kan du undgå mysql injections. Derudover så husk altid at kontrollere på server-side, (f.eks. i PHP koden) istedetfor blot Javascript kontrollering, da det er client sided og nemt kan slås fra. Sørg for at have korrekt chmod på dine filer og mapper, og evt. uploads scripts skal du også kontrollere. Er det pga. du ikke har gjort det første jeg nævnte (mht. database? ) eller har du brugt moduler og plugins? i så fald kan det være at exploiten er der.. :-) |
Bliv gratis medlem
Opret bruger