Подскажите статью по безопасности в php.

[MasterYan]

Подскажите статью по безопасности в php.

Подскажите статью по безопасности в php.
Ну и вообще на что следует обратить внимание?

 

[zerkms]

MasterYan

За 4 года успешной работы создано более 100 проектов!

т.е. вот ты программил 4 года и вопросом безопасности озаботился только сейчас?

 

[MasterYan]

не ну про include''; и про mysql_real_escape_string я знаю + проверка загружаемых файлов. Но интересует что еще может быть 'не так как надо'

В особенности интересует могут ли обойти mysql_real_escape_string ??

PS: http://doc.dubs.odessa.net/phpdoc/function.mysql-real-escape-string.php

 

[zerkms]

MasterYan
не могут. в запросах использовать обязательно. ещё - забыть этот говносайт и читать мануал только на официальном сайте.
[m]mysql_real_escape_string[/m]

 

[Wicked]

http://shiflett.org/articles
http://phpsec.org/projects/guide/
http://www.webappsec.org/projects/threat/

-~{}~ 27.04.09 10:16:

.

 

[Фанат]

Wicked, а где там написано, что
mysql_real_escape_string сработал не так, как надо? и почему нет альтернативы?

MasterYan, к чему твой "PS"?

 

[zerkms]

Wicked

Despite the use of addslashes(), I'm able to log in successfully without knowing a valid username or password. I can simply exploit the SQL injection vulnerability.

To avoid this type of vulnerability, use mysql_real_escape_string(), prepared statements, or any of the major database abstraction libraries.

или я что-то пропустил?

 

[Wicked]

блин... что-то я прогнал по старой памяти

да, с mysql_real_escape_string() все ок

 

[melo]

http://phpfaq.ru/safety

 

[DiMA]

> т.е. вот ты программил 4 года

Как тебе не стыдно отнимать у фиксера его коронный вопрос? .-)

 

[Alexandre]

Подскажите статью по безопасности в php.

http://www.google.ru/search?q=php+++security
http://talks.php.net/index.php/Security

 

[Farsh]

http://www.phparch.com/c/books/id/0973862106

 

[Фанат]

последние два сообщения жгут.
особенно умильно смотрится правка в предпоследнем.

 

[Alexandre]

thanks

но тема сама жгет
не правдали?

 

[findnext]

не только тема, но и портфолио к сожалению. одни дыры...

-~{}~ 28.04.09 01:39:

к примеру http://svetopis.com/ + все остальные, где была использована самописная система управления сайтом

 

[Beavis]

прикольно, встроенный яндекс на сайте)))
http://svetopis.com/

 

[Alexandre]

прикольно, встроенный яндекс на сайте)))
http://svetopis.com/

особо прикольно смотрятся результаты выдачи сайта в charset=windows-1251
и яндекса в UTF-8

 

[Beavis]

кстати, если у кого доступ на работе ко всяким одноклассникам закрыт - вот вам бесплатный прокси)))

 

[MasterYan]

поздно )

 

[Фанат]

не ну про include''; и про mysql_real_escape_string я знаю

на mysql_real_escape_string проверять будем?