Za darmo na e-mailPraktyczny kurs PHP (aż 200 stron!)

Krok po kroku, opanuj podstawy PHP za darmo - praktyczny kurs w formie e-booka prosto na Twój e-mail

PHP

Bezpieczna strona www – jak zadbać o bezpieczeństwo

Pinterest LinkedIn Tumblr

Kwestia bezpieczeństwa stron internetowych to stosunkowo świeży temat. Dawniej, gdy strony składały się z kilku statycznych podstron Htmlowych, nie było możliwości, a przede wszystkim potrzeby, by atakować. Dziś sprawa ma się zgoła inaczej. Ludzie przechowują bardzo poufne informacje w różnych serwisach internetowych, a dostęp do nich dla osób trzecich jest wielce niepożądany.

Dziś kluczowe dla nas działania wykonujemy głównie przez internet. Obsługujemy konto bankowe, rezerwujemy miejsce w hotelu, prowadzimy proces rekrutacji pracowników i wiele więcej. Najważniejsze serwisy internetowe, takie jak banki, płacą krocie za coraz to nowocześniejsze zabezpieczenia przed nieautoryzowanym dostępem. Im większe możliwości ma użytkownik, tym więcej szkód może narobić przestępca, po ominięciu zabezpieczeń.

Chciałbym udzielić Ci kilku porad, które pomogą poprawić bezpieczeństwo Twojej aplikacji.

Przede wszystkim trzymaj się złotej zasady – im mniej pól ma użytkownik do wypełnienia, tym lepiej. Staraj się ograniczyć swobodę wpisywania do minimum. W miarę możliwości używaj list rozwijanych i checkboxów (lub radio boxów) zamiast klasycznych textboxów. Filtruj dokładnie wszystkie pola formularza nawet w najbardziej trywialnych przypadkach.

Zawsze może się zdarzyć, że hacker jakimś cudem wykradnie Ci dane do użytkownika bazy danych. Stanowi to ciężką sytuację, ale nie jest to jeszcze koniec świata. Trzeba tylko odpowiednio przygotować się na taką sytuację. Przede wszystkim należy utworzyć osobnego użytkownika, z minimalnymi prawami, wymaganymi do obsługi strony. Jeśli wystarczy sam select, to taki użytkownik jest dużo mniej wartościowy dla włamywacza. Zazwyczaj jednak potrzeba przynajmniej update i insert, żeby dodawać i edytować zawartość.

Błędem bardzo powszechnym wśród niedoświadczonych webmasterów jest podawanie konta roota do łączenia się strony z bazą. Wtedy hacker, po przechwyceniu danych autoryzacyjnych, ma nieograniczony dostęp do wszystkich funkcji bazy.

Kolejną istotną sprawą jest kopia zapasowa. Po ataku, nawet gdy użytkownik miał dostęp do minimum funkcji, mógł nam łatwo zaspamować bazę lub wyedytować istniejące rekordy. Zaraz po ataku wypada (na wszelki wypadek) wgrać ostatnią bezpieczną kopię zapasową. Większość hostingowych firm wykonuje automatycznie kopie zapasowe całej wynajmowanej powierzchni. Nic nie stoi jednak na przeszkodzie, by samemu się o to zatroszczyć. Oczywiście, po ataku, bezwzględnie zmień wszystkie hasła dostępu oraz poproś o to samo swoich użytkowników.

Staraj się być zawsze na bieżąco z tematem bezpieczeństwa stron www. Dobrym źródłem świeżych informacji jest www.niebezpiecznik.pl.

Zatem trzymaj się standardów, programuj mądrze i ruszaj w świat ze swoją stroną.

 

Programista freelancer od 2010 roku. Z PHP związany od 2008, w którym to wykonuję najwięcej zleceń. Autor dwóch książek: Praktyczne PHP i MVC w PHP od zera. Hobbystycznie prowadzę internetowy kurs PHP online, który doczekał się dziesiątych urodzin.

komentarze 2

  1. Od siebie dodam że warto przeczytać m.in. o:

    “XSS” oraz “cookie httponly”,
    “SQL Injection” oraz “PDO”(najbezpieczniej z kodowaniem utf8, bo da się sql injection na którymś z kodowań latin – chyba latin1).

    Jest?(była) na niektórych wersjach PHP luka dzięki której po dodaniu “?-s” do parametru adresu, pokazywał się skrypt PHP obecnie powinno już być wszędzie załatane, niestety nie wiem jak to się nazywa ale jako ciekawostka warto o tym po-googlować jeśli ktoś ma tą podatność, żeby się obronić.

    Hm, a dla tych co ukrywają skrypty pod innym rozszerzeniem polecam poczytać jeszcze o “php easter egg”.

    Powinno dość obronić stronę od strony programisty.
    Jak ktoś wie coś więcej o tematyce podobnej do powyższej to chętnie posłucham przed czym jeszcze powinno się zabezpieczyć.

Dodaj komentarz

Ominiesz taką okazję?Praktyczny Kurs PHP (aż 200 stron!) za darmo

Gorąco polecam, naprawdę warto skorzystać! To nic nie kosztuje. Krok po kroku, opanuj podstawy PHP za darmo - praktyczny kurs w formie e-booka prosto na Twój e-mail.