מה הם האמצעים שאני אמור לנקוט על מנת להגן על האתר שלי?
האם סינון המידע המתקבל ע"י הלקוח על מנת למנוע הזרקות כל שהם יספיק?

אגב, ראיתי את הדביק , פשוט אני לא חזק כל כך באנגלית.

תודה לעוזרים.

חתימתי העצומה בגודלה הוסרה ע"י השליט הבלתי מעורער שימי, למי שיש בעיה שיפנה אליו.


ד אַל תַּעַן כְּסִיל כְּאִוַּלְתּוֹ פֶּן תִּשְׁוֶה לּוֹ גַם אָתָּה. ה עֲנֵה כְסִיל כְּאִוַּלְתּוֹ פֶּן יִהְיֶה חָכָם בְּעֵינָיו

סינון בהחלט חשוב מאוד, בעיקר חשוב לסנן הזרקות HTML, SQL ו-PHP

אבל זה לא תמיד מספיק. למשל יש דרכים מסויימות אם XML ועוד כל מיני. הרעיון הוא לתכנן מערכת בצורה טובה, וכך היא תיהיה מאובתחת. וגם אם פורצים לך, אתה מכיר טוב מאוד את המערכת וכך תוכל להגן...

חשוב גם לזכור, שלפעמים השרת שלך לא מאובתח, וכך אם פורצים לשרת שלך, אפשר ליפרוץ לאתר.
לכן בחודש הראשון, תמיד כדאי לנסות כל מיני התקפות על השרת וכך לבדוק זאת...

בהצלחה!

אז זהו.. להגיד לתכנן מערכת בצורה טובה זה לא כל-כך חוכמה.. אם אני הייתי יודע כמו שצריך לעשות דיזיין טוב למערכת הייתי כותב אשכול כזה, אני יודע שיש כל מיני תבניות כמו- MVC, יצא לי לחפש הרבה על זה, אבל לא מצאתי דוגמא למערכת שבנויה מ- MVC, ולי אישית נשארו השאלות: אז מה זה moudle? ומה זה controller, דברים שלא כל-כך קל למצוא להם תשובה...

אני חושב שלא כדאי להגביל את הפורום ל- רק תמיכה ב- PHP, צריכים להיות הסברים על איך לתכנן מערכת, איך לעבוד נכון ב- OOP, התיכנון זה בעצם 70% מהתכנות, לפחות לפי ה"תאוריה" שלי

תקרא בעוגן...אתה חייב לדעת אנגלית אם אתה רוצה לעסוק בתכנות

תודה לשלושתכם
ניסיתי לקרוא את מדריך האבטחה, עכשיו כדי להיות בטוח שהבנתי אני אציין נקודות ואציין מה הבנתי מהם, ואם אפשר תענו לי בבקשה אם צדקתי או לא

1) Register Globals - למנוע מהמשתמשים אפשרות לערוך משתנים דרך שליחת נתונים Post/Get.
2) סינון מידע, לדוגמא יש, File.php?Act=print
לעשות בדיקה עבור כל קלט שהוא, כלומר לקלטים שאמורים להיקלט, ובמקרה שהקלט לא תקין להציג משהו אחר, לא לתת אפשרות שלא יקרה כלום.
או לבדוק ולקיים מלך כל שהוא על פי מקרה אחד.
בדיקת תקינות קלט.
3) Form Processing -
3.1) Spoofed From Submissions - להתל בטופס, הם אמרו שמה שאפשר להוריד את הטופס ולשנות בו חלקים, לא הבנתי בדיוק, אז? לא משנה מה אני אעשה תהיה ללקוח את אפשרות העריכה? , ומזה זה ישנה אם יש את הבדיקה בצד השרת?
3.2) Spoofed HTTP Requests - להתל בפקודות הפרוטוקול, לשלוח מידע כמו תגית HTML או קוד כלשהו אחרי פקודות הפרוטוקול? (אגב, זה יעשה בעיות רק במידה ואני אעשה שימוש במידע שנשלח?)
3.3) Cross-Site Scripting , מניעת הצגת תגים שנמצאים בתוך מידע שנשלח ע"י הלקוח אשר משפיעים על פעולת הדפדן.
3.4) Cross-Site Request Forgeries , זיוף בקשות של מה? , לא הבנתי את זה בכלל

את החלקים האחרים עדיין לא הספקתי לקרוא
תודה רבה רבה לעוזרים.
מצטער על ההטרדה

חתימתי העצומה בגודלה הוסרה ע"י השליט הבלתי מעורער שימי, למי שיש בעיה שיפנה אליו.


ד אַל תַּעַן כְּסִיל כְּאִוַּלְתּוֹ פֶּן תִּשְׁוֶה לּוֹ גַם אָתָּה. ה עֲנֵה כְסִיל כְּאִוַּלְתּוֹ פֶּן יִהְיֶה חָכָם בְּעֵינָיו

מצטער על הדאבל וההקפצה.
אבל אשמח מאוד לעזרה
אגב אני יודע שזו חוצפה קצת מה שביקשתי, לבקש ממישהו לקרוא בעבורי, אז אם לא מתאים אשמח שתגידו (ולא ניסיתי לסנג'ר, אני מבקש באמת)

חתימתי העצומה בגודלה הוסרה ע"י השליט הבלתי מעורער שימי, למי שיש בעיה שיפנה אליו.


ד אַל תַּעַן כְּסִיל כְּאִוַּלְתּוֹ פֶּן תִּשְׁוֶה לּוֹ גַם אָתָּה. ה עֲנֵה כְסִיל כְּאִוַּלְתּוֹ פֶּן יִהְיֶה חָכָם בְּעֵינָיו

אני חושב שזה בסדר, כי זה לא שלא קראת, אתה כן ניסית להבין.. בשביל זה יש פורום, בשביל לתמוך בדברים שלא הבינו אחרת בשביל מה יש פורום?..

אני לא מגדיר את עצמי כמומחה אבטחה, אבל בכל מקרה עברתי על הדברים שמה, ומה שאתה לא הבנת זה בערך הדברים שאני לא הבנתי.. כל השאר עקרונות דיי ידועים שלא כל-כך קשה להבין..

רק בקשר לבדיקה בשרת, תמיד תמיד לעשות שמה, כי על מה שיש בלקוח, לא סומכים, כלל ברזל, מאותה הסיבה שבשרת ההאקר לא יכול לשלוט לך על הדברים, ובלקוח הוא יכול לעבור את ההגנה בקלות, ע"י למשל חסימת JS, אז בשביל מה בודקים ב- JS? עניין של נוחות בעיקר

אוקיי אחי הבנתי, תודה רבה נדב,רמי,מקסים.

חתימתי העצומה בגודלה הוסרה ע"י השליט הבלתי מעורער שימי, למי שיש בעיה שיפנה אליו.


ד אַל תַּעַן כְּסִיל כְּאִוַּלְתּוֹ פֶּן תִּשְׁוֶה לּוֹ גַם אָתָּה. ה עֲנֵה כְסִיל כְּאִוַּלְתּוֹ פֶּן יִהְיֶה חָכָם בְּעֵינָיו