Ultimamente mi sto cercando di documentare sulla sicurezza degli script in PHP. Soprattutto, mi interesserebbe sapere quali controlli è bene fare prima di utilizzare (sia nello script che in query) dati inviati tramite le due variabili globali $_GET e $_POST.
Sono graditi links e numerosi interventi
X ora, ciauz!
Earn money for searching the internet:
Homepages Friends
![L'avatar di }gu|do[z]{®©](image.php?u=17713&dateline=1210448886 "L'avatar di }gu|do[z]{®©")
tutti i controlli che verifichino che il contenuto è quello che ti aspetti.
In generale se fai in modo che possa essere solo quello che ti aspetti riduci quasi a zero le vulnerabilità...
in ogni caso principi di base ce ne sono tanti e si acquisiscono con l'esperienza.. difficile farne una lista astratta...
http://php.html.it/guide/leggi/121/g...urezza-di-php/
c'è un po' di tutto
Sì, la guida l'ho letta. Però sicuramente quella sarà solo un'infarinatura... Ho trovato anche questo, ma non ho iniziato ancora a leggerlo: http://phpsec.org/php-security-guide.pdf
Conoscete altre risorse???
Earn money for searching the internet:
Homepages Friends
Ciao.
[Pillola]
Without faith, nothing is possible. With it, nothing is impossible
http://ilwebdifabio.it
Come Detto da }gu|do[z]{®©,
che si tratti di GET o POST per essere tranquillo devi effettuare dei controlli
per verificare che il contenuto sia quello che ti aspetti.
Sicuramente il tuo sforzo dovrà essere ancora maggiore se si parla di $_GET ,
facilmente modificabili da chiunque.
Saluti
::MORE BOUNCE::
La sicurezza di un'applicazione Web è definita ed implicata dalla sicurezza sulla programmazione Web in senso stretto e dalla "blindatura" del server su cui essa gira.
Non dimenticarti di quest'ultimo aspetto, se intendi avere un'idea a tutto tondo del problema.
A breve verrà pubblicata una guida sulla Sicurezza LAMP qui su Html.it.
Grazie skidxhttp://php.html.it/guide/leggi/121/...curezza-di-php/
c'è un po' di tutto
A proposito di questo topic.La sicurezza di un'applicazione Web è definita ed implicata dalla sicurezza sulla programmazione Web in senso stretto e dalla "blindatura" del server su cui essa gira.
Sto smanettando con Ajax per verificare la sicurezza
di un mio script praticamente mi sono
accorto che IE da la possibilità di chiamare pagine esterne
al tuo dominio appunto con ajax anche se il MDC riporta:
Fatto sta che da locale riesco a chiamare una pagina sulPer ragioni di sicurezza, non è possibile chiamare pagine che si trovino su un dominio differente da quello in cui si trova la pagina corrente.
mio server mettiamo formRegister.php e da li a passare post data
all'action ??????????
IE da un malinconico msg:
ma dando si lo script attaccante si avvia tranquillamenteLe informazioni a cui si sta accedendo non sono controllabili ....((
mentre FF:
Lo script ha resistito bene all'attacco (grazie anche a capthauncaught exception:Permission denied to call method XMLHttpRequest.open
e a numerosi redirect ) ma resta sempre il problema dei DOS.
A breve verrà pubblicata una guida sulla Sicurezza LAMP qui su Html.it.
Resto in trepidante attesa
Sia dell'articolo sia di una Vs opinione riguardo a i DOS
generati con Ajax.
Without faith, nothing is possible. With it, nothing is impossible
http://ilwebdifabio.it
In che senso "blindatura". Io sono in hosting, quindi purtroppo non ci posso fare nulla. Ma posso sempre suggerire al tecnico, dato che lo conosco di persona... Quindi, parlami della blindatura please!Originariamente inviato da mark2x
e dalla "blindatura" del server su cui essa gira.
Non dimenticarti di quest'ultimo aspetto, se intendi avere un'idea a tutto tondo del problema.
A proposito della pillola segnalata... Come si usa (che non è che io ci abbia capito molto...)???
Earn money for searching the internet:
Homepages Friends
Tra poco ne "parlerò" in una guida.Originariamente inviato da ana4ever-vids
Quindi, parlami della blindatura please!
Permessi di invio
Rispondi quotando