Я всегда говорю и буду настаивать на своем мнении, что большинству сайтов CMS не нужны и только излишне нагружают их. Это касается простых сайтов-визиток и даже бизнес сайтов компании, где максимум что используется это модули новостей. Написать модуль обновления новостей для контент-менеджера может любой программист за несколько минут. Организовать защиту этого модуля не представляет труда, достаточно обработать все входящие данные и оправлять параметризованные SQL запросы. В случае использвования CMS вы не всегда можете быть уверены в максимальной защите.
Прочитав предыдущие статьи из серии Защита кода PHP, вы уже убедились в том, что только комплексный подход к безопасности сайта поможет решить проблему несанкционированного проникновения. В совокупности каждый метод работает максимально эффективно, нежели поотдельности. Поэтому еще раз затронем проблему сохранности паролей в базах данных.
В прошлой статье мы рассмотрели как правильно обрабатывать переменные формы, чтобы уберечь себя от неверно введенных данных или специального взлома. Для этого мы обрабатывали входящие данные с помощью специальных функций php. Для того чтобы защититься от спама, необходим другой подход.
Не все, но многие знают, что переменные, в которые данные поступают от пользователя, необходимо проверять на правильность. Неверные вхождения могут привести к различного рода неприятностям (взлому системы). Этого можно избежать используя несколько правил, которых следует придерживаться на всех этапах разработки приложения. Это также касается проверки чужого кода на наличие уязвимостей.
Удаленное подключение файлов (Remote File Include) - является методом нападения на веб-приложения, использующие динамически подключаемые файлы. В основном этот метод заключается в подключении файлов с вредоносным кодом на атакуемый сайт или сервер.
При выборе CMS для создания сайта следует рассмотреть ее устойчивость к атакам и уязвимостям. Первым делом следует определиться, а нужна ли вообще CMS? Может проще написать свою. По своему опыту, хочу заметить, что клиент в большинстве случаев может не разбираться даже в самых простых системах управления сайтом, неговоря уже о других. Большинству требуется только добавление и редактирование статей, новостей, товаров, а другие видоизменения ложаться на руки веб-мастера. Плюсы отказа от публичных CMS в том, что подобрать эксплойт для такого сайта будет не просто, если вы конечно правильно построили структуру.
SSI-инъецкия (Server Side Include) - техника атаки на веб-приложение, при которой злоумышленник посылает конструкции кода, которые в последствии будут выполнены на сервере. SSI-инъекция использует уязвимости веб-приложений, заключающиеся в недостаточной фильтрации входящих данных от пользователей.
Существует огромное количество различных языков программирования, а среди них есть специализированные среды разработки для создания сайтов. Одной из таковых средств разработки является PHP. С помощью этого замечательного языка программирования вы сможете сделать практически любой сайт. Огромное количество различных функций, которые помогут вам осуществлять различного рода операция при написании программ на этом чудесном интерпретаторе. Разработчики годами разрабатывали и совершенствовали этот чудесный язык программирования и сделали его максимально понятным и быстро изучаемым даже для людей, которые никогда раньше не занимались программированием. Однако для людей, которые имели раньше дело с написанием программ, этот язык покажется ещё легче, и они его смогут освоить в кратчайшие сроки.
Эта четвертая и заключительная статья из серии Пишем безопасный код на PHP. В предыдущих статьях я раскрыл многие из распространенных ошибок и уязвимостей, которые допускают PHP-разработчики. В данной статье мы рассмотрим более продвинутые проблемы безопасности сайтов на PHP.
В первой и второй частях я разбирал основные ошибки начинающих программистов PHP. В этой части я постараюсь разобрать вопросы безопасности немного глубже.
