Меню
Что нового?

Библиотека фильтрации данных

MaLa

Новичок
Всем привет.
Учу PHP и потихоньку пишу свою CMS (под свои нужды).
Появились проблемы, я знаю что хакеры любят атаковать через XSS (искать дырки в кривой фильтрации и что-либо делать), так вот, есть какая-нибудь хорошая библиотека для защиты от таких атак (а конкретнее фильтрации получаемых данных)?
 
phprus

phprus

Moderator
Команда форума
Данные не нужно фильтровать.
Данные нужно экранировать так, чтобы они не представляли опасности для способа использования.

P.S. один раз сталкивался с говносервисом, который в пароле не принимал @ и ', что есть явный пример как НЕ надо делать фильтрацию.
 
Духовность™

Духовность™

Продвинутый новичок
phprus написал(а):
Данные не нужно фильтровать.
P.S. один раз сталкивался с говносервисом, который в пароле не принимал @ и ', что есть явный пример как НЕ надо делать фильтрацию.
Нажмите для раскрытия...
Это не фильтрация и к теме отношения не имеет. Но это правильно - ограничивать пароли /a-z0-9/i, т.к. у людей будет больше проблем с запоминанием паролей вида ;%:?*)(*?:, их трудно будет диктовать по телефону, больше шансов будет ошибиться при вводе таких паролей.
 
baev

baev

‹°°¬•
Команда форума
Духовность™ написал(а):
Это не фильтрация и к теме отношения не имеет. Но это правильно - ограничивать пароли /a-z0-9/i, т.к. у людей будет больше проблем с запоминанием паролей вида ;%:?*)(*?:, их трудно будет диктовать по телефону, больше шансов будет ошибиться при вводе таких паролей.
Нажмите для раскрытия...
— бред. Особенно — про «диктовать по телефону».
Если уж я «собаку» в пароль вставил, я хрен про неё забуду. Вообще, с точки зрения устойчивости пароля к взлому, использование спецсимволов — настоятельно рекомендуется.
 
phprus

phprus

Moderator
Команда форума
Духовность™ написал(а):
Это не фильтрация и к теме отношения не имеет. Но это правильно - ограничивать пароли /a-z0-9/i, т.к. у людей будет больше проблем с запоминанием паролей вида ;%:?*)(*?:, их трудно будет диктовать по телефону, больше шансов будет ошибиться при вводе таких паролей.
Нажмите для раскрытия...
Это была именно фильтрация, так как пароль введенный без этих двух символов подошел. А когда я такой пароль ставил, сервис его сожрал.
Что за бред про символы? Если пользователь забыл пароль - это проблемы пользователя (пусть использует восстановление), а если пользователь забыл рабочий пароль, то перед заменой пароля должен быть стимулирующий втык (как и за пароли написанные на мониторе).

А кому мне по телефону диктовать СВОЙ пароль? Особенно от критичного сервиса?
 
Духовность™

Духовность™

Продвинутый новичок
baev написал(а):
— бред. Особенно — про «диктовать по телефону».
Если уж я «собаку» в пароль вставил, я хрен про неё забуду. Вообще, с точки зрения устойчивости пароля к взлому, использование спецсимволов — настоятельно рекомендуется.
Нажмите для раскрытия...
Что за бред про символы? Если пользователь забыл пароль - это проблемы пользователя
Нажмите для раскрытия...
Спецсимволы никак не отличаются от обычных символов. Разница только в том что коечный "тупой" пользователь, понаставив себе сложных паролей со спецсимволами, будет бесконечно долго их вспоминать и столь же долго пытаться их набрать с клавиатуры.
 
baev

baev

‹°°¬•
Команда форума
Духовность™ написал(а):
Спецсимволы никак не отличаются от обычных символов. Разница только в том что коечный "тупой" пользователь, понаставив себе сложных паролей со спецсимволами, будет бесконечно долго их вспоминать и столь же долго пытаться их набрать с клавиатуры.
Нажмите для раскрытия...
— не-а.
Разница только в том, что «тупой» брутфорсер будет вначале бесконечно долго перебирать пароли по словарю и только потом перейдёт к перебору всех остальных комбинаций.
 
phprus

phprus

Moderator
Команда форума
Духовность™
Вай какой наивный!
Например, брутфорс паролей и логинов на мой рабочий компьютер происходит чуть менее чем постоянно (стабильно раз в день какой-нибудь бот да набежит), так как он не закрыт фаерволом на граничном маршрутизаторе в связи с выполняемыми задачами. Собственно по этому я и созерцаю в своих логах кучу IP из разных концов этого глобуса, которые пытаются залогиниться по ssh. И кому нужен мой рабочий компьютер?

Судя по всему просто сканят подсети и пытаются долбиться на те сервера, что отвечают.
 
baev

baev

‹°°¬•
Команда форума
Духовность™ написал(а):
http://lurkmore.ru/%CD%E5%F3%EB%EE%E2%E8%EC%FB%E9_%C4%E6%EE
Нажмите для раскрытия...
— опять «пальцем в небо».
Боты сканируют «на автомате». К примеру, тупо перебирают адреса подсети на предмет возможности залогиниться по вышеупомянутому протоколу ssh. Естественно, тратить ресурсы на «неуловимого Джо» никто не будет, поэтому делается брутфорс по словарю наиболее часто употребляемых паролей: быстро подобрали, записали и свалили.

P.S. Чуть не забыл.
Потом на этот самый взломанный хост загружается копия того же бота, и процесс продолжается.
 
Войдите или зарегистрируйтесь для ответа.
Сверху