• новости
• статьи
• п.о.
• мнения
• ссылки
• о проекте

Реклама

-- АРХИВЫ -- Август 2015 Июль 2015 Июнь 2015 Май 2015 Апрель 2015 Март 2015 Февраль 2015 Январь 2015 Декабрь 2014 Ноябрь 2014 Октябрь 2014 Сентябрь 2014 Август 2014 Июль 2014 Июнь 2014 Май 2014 Апрель 2014 Март 2014 Февраль 2014 Январь 2014 Декабрь 2013 Ноябрь 2013 Октябрь 2013 Сентябрь 2013 Август 2013 Июль 2013 Июнь 2013 Май 2013 Апрель 2013 Март 2013 Февраль 2013 Январь 2013 Декабрь 2012 Ноябрь 2012 Октябрь 2012 Сентябрь 2012 Август 2012 Июль 2012 Май 2012 Апрель 2012 Март 2012 Февраль 2012 Январь 2012 Декабрь 2011 Ноябрь 2011 Октябрь 2011 Сентябрь 2011 Август 2011 Июль 2011 Июнь 2011 Май 2011 Апрель 2011 Март 2011 Февраль 2011 Январь 2011 Декабрь 2010 Ноябрь 2010 Октябрь 2010 Сентябрь 2010 Август 2010 Июль 2010 Июнь 2010 Май 2010 Апрель 2010 Март 2010 Февраль 2010 Январь 2010 Декабрь 2009 Ноябрь 2009 Октябрь 2009 Сентябрь 2009 Август 2009 Июль 2009 Июнь 2009 Май 2009 Апрель 2009 Март 2009 Февраль 2009 Январь 2009 Декабрь 2008 Ноябрь 2008 Сентябрь 2008 Август 2008 Июль 2008 Июнь 2008 Май 2008 Апрель 2008 Март 2008 Февраль 2008 Январь 2008 Декабрь 2007 Ноябрь 2007 Октябрь 2007 Сентябрь 2007 Август 2007 Июль 2007 Июнь 2007 Май 2007 Апрель 2007 Март 2007 Февраль 2007 Январь 2007 Декабрь 2006 Ноябрь 2006 Октябрь 2006 Сентябрь 2006 Август 2006 Июль 2006 Июнь 2006 Май 2006 Апрель 2006 Март 2006 Февраль 2006 Январь 2006 Декабрь 2005 Ноябрь 2005 Октябрь 2005 Сентябрь 2005 Август 2005 Июль 2005 Июнь 2005 Май 2005 Апрель 2005 Март 2005 Февраль 2005 Январь 2005 Декабрь 2004 Ноябрь 2004 Октябрь 2004 Сентябрь 2004 Июнь 2004 Май 2004 Апрель 2004 Декабрь 2003 Март 2003 Февраль 2003 Октябрь 2002 Сентябрь 2002    Архив сайта
  

Поиск

Допускается использование ключевых слов AND, OR и NOT.

Обсуждения

• Google: бесплатный антивирус для всех желающих (22)
• "Мамба" удалила десятки миллионов анкет (184)
• Компания «Google» провела ребрендинг логотипа и меню (1)
• Растолкованный PageRank (Часть 5) (1)
• "Сам себе режиссер" - теперь и в Интернете (302)
• Сервисом Apple Music пользуются 11 млн человек (1)
• В России появится аналог eBay и Amazon (1)
• Браузеры: Вышел Internet Explorer 7 Beta 2 (5)
• Теперь создать социальную сеть сможет каждый (174)
• В России более 700 сайтов может быть заблокировано (2)

Статьи

• 12.02.06 CMS с desktop-клиентом - за и против (Часть 2)
• 11.02.06 CMS с desktop-клиентом - за и против (Часть 1)
• 11.02.06 JavaScript и объектная модель (Окончание)
• 10.02.06 JavaScript и объектная модель (Начало)
• 09.02.06 Направления развития веб-технологий в 2006 году (Окончание)

Программы

• 02.02.06 Браузеры: Вышел Internet Explorer 7 Beta 2
• 02.12.05 Популярный браузер Mozilla Firefox обновился до версии 1.5
• 13.07.05 PHP 4.4.0
• 30.06.05 Nvu 1.0
• 17.06.05 OptiPerl 5
• 09.06.05 MSN Search Toolbar
• 24.05.05 mod_perl 2.0.0
• 20.05.05 Netscape 8
• 19.04.05 Opera 8
• 13.04.05 ActiveState Komodo 3.1

Октябрь 27, 2005

Приемы безопасного веб-программирования на PHP

Данная статья не претендует на роль всеобъемлющего руководства на тему "как сделать так, чтоб меня никто не поломал".

Единственная цель этой статьи - показать некоторые используемые мной приемы для защиты веб-приложений типа WWW-чатов, гостевых книг, веб-форумов и других приложений подобного рода. Итак, давайте рассмотрим некоторые приемы программирования на примере некоей гостевой книги, написанной на PHP.

Первой заповедью веб-программиста, желающего написать более-менее защищенное веб-приложение, должно стать "Никогда не верь данным, присылаемым тебе пользователем". Пользователи - это по определению такие злобные хакеры, которые только и ищут момента, как бы напихать в формы ввода всякую дрянь типа PHP, JavaScript, SSI, вызовов своих жутко хакерских скриптов и тому подобных ужасных вещей. Поэтому первое, что необходимо сделать - это жесточайшим образом отфильтровать все данные, присланные пользователем.

Допустим, у нас в гостевой книге существует 3 формы ввода: имя пользователя, его e-mail и само по себе тело сообщения. Прежде всего, ограничим количество данных, передаваемых из форм ввода чем-нибудь вроде:

<input type=text name=username maxlength=20>

На роль настоящей защиты, конечно, это претендовать не может - единственное назначение этого элемента - ограничить пользователя от случайного ввода имени длиннее 20-ти символов. А для того, чтобы у пользователя не возникло искушения скачать документ с формами ввода и подправить параметр maxlength, установим где-нибудь в самом начале скрипта, обрабатывающего данные, проверку переменной окружения web-сервера HTTP-REFERER:

<?
$referer=getenv("HTTP_REFERER");
if (!ereg("^http://www.myserver.com")) {
echo "hacker? he-he...\n";
exit;
}
?>

Теперь, если данные переданы не из форм документа, находящегося на сервере www.myserver.com, хацкеру будет выдано деморализующее сообщение. На самом деле, и это тоже не может служить 100%-ой гарантией того, что данные ДЕЙСТВИТЕЛЬНО переданы из нашего документа. В конце концов, переменная HTTP_REFERER формируется браузером, и никто не может помешать хакеру подправить код браузера, или просто зайти телнетом на 80-ый порт и сформировать свой запрос. Так что подобная защита годится только от Ну Совсем Необразованных хакеров. Впрочем, по моим наблюдениям, около 80% процентов злоумышленников на этом этапе останавливаются и дальше не лезут - то ли IQ не позволяет, то ли просто лень. Лично я попросту вынес этот фрагмент кода в отдельный файл, и вызываю его ото всюду, откуда это возможно. Времени на обращение к переменной уходит немного - а береженого Бог бережет.

Разместил:

Автор:

Комментарии

1. 28.10.05 02:13 От: Арсен Кириллов

С реферер - перебор. Это не метод защиты, хотя бы потому, что тем же curl'ом обходится в три строки. Конечно, класно про него вспомнить - но все же. Еще бы рекомендовл обратить внимание на php.net. Там в начале года проходила довольно резкая статья по поводу безопасности и ошибок в php-enjine.

http://softm.h1.ru/

2. 28.10.05 15:11 От: MiRacLe

Небольшое отступление:

вот из-за таких "недалёких" советчиков и пишут направо и налево "кривые" приложения....

А о том что referer может банально "резаться" различными локальными файрволами, корпоративными прокси и т.п. сетевыми фильтрами автор не знал ?

И все пользователи, установившие у себя Norton Какой-то-там Firewall просто идут лесом, затем полем и в конце концов забывают о сайте на который его не пустил "крайне умный" разработчик.

Теперь о главном - referer надо проверять только в том случае если он ЕСТЬ! не надо так же забывать о том что в большинстве случаев www.domain.tld и domain.tld это один и тот же ресурс и в зависимости от настроек сервера форма отправленная с domain.tld может попадать в обработку на www.domain.tld (или наоборот) соответственно проверка любезно опубликованная автором опять-таки огорчит потенциального писателя опуса в гостевой книге сообщением о том что он hacker.....

Итог - прежде чем нажимать на кнопку "Опубликовать" автору рекомендуется попить чаю. Если после этого снова возникнет желание поучать других - повторить историю с чаем....

3. 29.10.05 17:45 От: in

Согласен с MiRacLe. Это не защита! Это видимость и самоуспокоение. Тут недавно закончилась Zend/PHP Conference 2005. Там были очень серьезные доклады по защите. Жалко, из России там был только один человек (насколько мне известно). Дождемся, когда он напишет эссе по материалам данной конференции: http://www.phpworld.ru/

Ваш комментарий

Обсудить на форуме?

Подумайте, прежде чем высказать своё мнение. Постарайтесь сделать свой комментарий полезным для других. Не используйте ненормативную лексику. Пользователи, пишущие "от нечего делать" бессмысленные наборы символов, будут блокироваться навсегда.

Имя:
Комментарий:
Цифровой код:
	Уверены?

Скачать приложение казино

©2002-2007 NBSP.RU
Все права защищены.   |   Ссылки, Полезные заметки