1.109 views
hoe voorkom je SQL, php, en html injection in je Database.... ik wil namelijk niet dat mijn site word aangetast door een of andere hacker/bad user
Een goede overzichtelijke manier van coden is een goede start. De coding standards van pear zijn een goede guideline over hoe je netjes en overzichtelijk kan coden.
http://pear.php.net/manual/en/standards.php
Voor de rest is het vooral goed in de gaten houden wat je wel en niet in je database wil hebben, en wat de invloed van de input kan zijn; of eigenlijk na te denken over wat voor input je wél wilt. En deze vervolgens te sanatizen (dwz, kwaadwillende content filteren). preg_replace is hiervoor de kennis die je zowiezo moet hebben, en kennis over Regular expressions.
Om html onschadelijk te maken is de functie htmlentities() een goede oplossing. Op die wijze word alle input met speciale tekens naar html entities omgezet. Dit zijn tekens als " Zodat uiteindelijk de enige niet a-z 0-9 tekens de ; en & zijn.
Je zult per onderdeel moeten bekijken wat je er wel en niet doorheen wilt en verschillende taktieken er op nahouden.
de OWASP is een organisatie die zich erg bezig houd met de beveiliging van webapplicaties, en ze hebben een reeks van aan te bevelen beveiligingsmaatregelen en methoden op een rijtje gezet. de FAQ is te vinden op http://www.owasp.org/documentation/appsec_faq.html
Er is ook een guide opgesteld (meer lezen, uitgebreidere informatie): http://www.owasp.org/documentation/guide/guide_about.html
Op deze site worden alle grote veiligeheids problemen doorgelicht en oplossingen voorgesteld. De veiligheidsliefhebber kan hier zijn hart ophalen.
http://pear.php.net/manual/en/standards.php
Voor de rest is het vooral goed in de gaten houden wat je wel en niet in je database wil hebben, en wat de invloed van de input kan zijn; of eigenlijk na te denken over wat voor input je wél wilt. En deze vervolgens te sanatizen (dwz, kwaadwillende content filteren). preg_replace is hiervoor de kennis die je zowiezo moet hebben, en kennis over Regular expressions.
Om html onschadelijk te maken is de functie htmlentities() een goede oplossing. Op die wijze word alle input met speciale tekens naar html entities omgezet. Dit zijn tekens als " Zodat uiteindelijk de enige niet a-z 0-9 tekens de ; en & zijn.
Je zult per onderdeel moeten bekijken wat je er wel en niet doorheen wilt en verschillende taktieken er op nahouden.
de OWASP is een organisatie die zich erg bezig houd met de beveiliging van webapplicaties, en ze hebben een reeks van aan te bevelen beveiligingsmaatregelen en methoden op een rijtje gezet. de FAQ is te vinden op http://www.owasp.org/documentation/appsec_faq.html
Er is ook een guide opgesteld (meer lezen, uitgebreidere informatie): http://www.owasp.org/documentation/guide/guide_about.html
Op deze site worden alle grote veiligeheids problemen doorgelicht en oplossingen voorgesteld. De veiligheidsliefhebber kan hier zijn hart ophalen.