אחד המשתמשים כאן שלח לי הודעה פרטית על כך שהמערכת שלי פריצה, כן אני יודע שזאת לא המערכת הכי בטוח בעולם, אפשר לפרוץ אותה בשניות, השאלה היא איך אפשר להגן עליה ברמה ממש מקצועית ?

איך בעצם אנשים פורצים לאתרים כאלה ? פעם פרצו לי ערבים והחליפו רק את דף הבית, הם כנראה פרצו לשרת, לא לאתר...

ואני יודע שתמיד יקומו אנשים שיציעו את "מערכת האבטחה הטובה בעולם" - כך הם מכנים אותה, דורשים 200 שקל עבור "מערכת האבטחה" ושמים לך קובץ מסכן שמעלה את רמת האבטחה, זה מחיר ממש מוגזם בשביל שהם יעשו העתק->הדבק.

אז בקיצור איך אני יכול באמת להגן על האתר בצורה משמעותית ? שמעתי שהבעייה הכי חמורה במערכות כמו שלי היא הזדקרות SQL לבסיס הנתונים, ככה הם גונבים את הסיסמא של הניהול ..

מערכת אבטחה לאתר זה בולשיט...אבטחה צריכה לבוא מהאתר עצמו, לא ממשהו נוסף. אתה פשוט צריך לקרוא על אבטחה (לא מזמן דור פרסם בפורום php "עלון"), ואז לבדוק נקודה נקודה את האתר ולתקן בהתאם.

אם לא אתה תכנתת, אז תוודא שאתה מתקין גירסאות חדשות של המערכת שיש לך עם תיקונים לבעיות אבטחה, ותחפש באינטרנט פתרונות ל exploitים במערכת שלך.

עכשיו בקטע של השרת יש לך רק שליטה מוגבלת על זה, ולכן אתה חייב ללכת לחברת אחסון מקצועית. אם יש לך את הכסף וצורך אמיתי באבטחה ללא פשרות, מוגדרת בדיוק איך שאתה רוצה, אז אתה יכול לשקול שרת יעודי.

עד כמה שאני יודע, אתה צריך לכתוב בשפת SQL בצורה הכי תקנית שיש, לדוגמא:

קוד:

SELECT `id`, `name` FROM table WHERE id='Some'

(ואני גם לא בטוח שהדוגמא התקנית הנ"ל היא הכי תקנית)
לעומת זאת, משהו פחות תקני יראה כך:

קוד:

SELECT id, name FROM table WHERE id=Some

בנוסף צריך "להבריח" תווים מסוימים שאתה משתמש בהם בשפת צד-השרת שלך.
לדוגמא אם זה PHP, את התו $ כדאי להבריח, וגם ->.
בנוגע ל-ASP אני לא מכיר אותו כל כך ...

כל הרעיון בפריצות זה "להגניב" בצורה מתוחכמת ולא רגילה קוד מסויים שהוא בשפת צד-השרת שבה משתמשים...
כנראה יש גם דרכים אחרים לפריצות אז אל תראה את מה שכתבתי כאן כ-כל התורה כולה.

ד"א עוד דבר זה להשתמש בסיסמאות מסובכות ולהצפין אותן בדרכים הכי טובות שאתה יכול. בגלל שיש בימינו כבר אתרים שמכילים במסד הנתונים שלהם מידע על מחרוזת והתחליף MD5 שלה, אז זה לא הכי בטוח להצפין רק באמצעות MD5 אלא לנסות להצפין בדרך שרק אתה מכיר ויצרת.

בקשר להזרקות SQL ובכלל: פשוט מקום שהמישתמש יכול להכניס קלט, צריך
לסנן את תווים כמו <,>,',&,",\./ וכו.

ציטוט:

ד"א עוד דבר זה להשתמש בסיסמאות מסובכות ולהצפין אותן בדרכים הכי טובות שאתה יכול. בגלל שיש בימינו כבר אתרים שמכילים במסד הנתונים שלהם מידע על מחרוזת והתחליף MD5 שלה, אז זה לא הכי בטוח להצפין רק באמצעות MD5 אלא לנסות להצפין בדרך שרק אתה מכיר ויצרת.

אפשר להצפין עם MD5 עם כמה תריקים זה יכול להיות הצפנה חזקה מאוד. למשל עם אתה מצפין את הסיסמה ואת הסיסמה המוצפנת אתה מצפין שוב ועושה על זה איזה פעולה מתמתית זה יוכל להיות די חזק...