php security

[_Dio_]

php security

интересуют основные ошибки и возможности взломать
пхп скрипты. написал софт, хочу его потестить на уязвимость.
спасибо всем кто подскажет основные места.

 

[Фанат]

инициализация всех переменных.
соблюдение правил составления РНР запросов.
убирание сообщений об ошибках
не вываливание РНР кода всем желающим.
Не дырявая авторизация.

Если ты эти правила выполнишь, то особо бояться тебе нечего.

 

[_Dio_]

Автор оригинала: Фанат
соблюдение правил составления РНР запросов.

вот это не понял можно поподробней?

А вообще хотелось бы на какой-то ресурс тематический попасть. Вон люди пишут, пишут и что в результате?
Дырки

PS Все равно спасибо, с одним пунктом помог

 

[Фанат]

Пардон, имелось в виду - SQL запросов

самое главное я забыл - контроль пользовательского ввода.
ни в коем случае не делать eval, и вообще, желательно не производить никаких операций с тем, что ввел пользователь, связанных с функционированием РНР. создание кода там, инклюды, и так далее.

ресурс?
попробуй securitylab.ru

Здесь, на сайте, есть, к сожалению, только одна статья, и она довольно слабенькая. В основном защита от несуществующих опасностей и ошибки самого автора.

 

[Кром]

>не вываливание РНР кода всем желающим.

Это, мне кажется, уже вопрос идеологии, а не безопасности. Если конечно учтены другие пункты.

 

[fog]

Эта статья поможет тебе
http://www.phpclub.net/tutor/safeprog.html

 

[Фанат]

в приведенной статье нет ни слова о защите кода от взлома.

 

[_Dio_]

и это правда.
хотелось бы чего-то по подробней