Avatar
ondras.cepec
Člen
Avatar
ondras.cepec:

Ahoj,
mám dotaz ohledně bezpečnosti PHP aplikace. Když vytvářím nějaký projekt, vždycky si nechávám tuto nepříjemnost až na konec.
Chci se zeptat co můžu všecko udělat pro zabezpečení své aplikace.
Samozřejmě mám ošetřené vstupy od uživatele jako třeba "sem zadej PSČ - a kontorluje se aby tam bylo 5 číslic". Pak mám přihlášení na sha1 heslo.
mysql_real_es­cape_string,htmlspe­cialchars.
A kromě tohodle? Co je potřeba aby to bylo bezpečné?
Díky s pozdravem ondrusu.

Odpovědět 6.1.2013 15:45
"No to sem ještě nežral!" - Cesta do lesa
Avatar
David Čápka
Tým ITnetwork
Avatar
Odpovídá na ondras.cepec
David Čápka:

Co píšeš dává smysl. U hesla bys měl mít sůl, jinak se dá dobře hacknout. Validace (např. to PSČ) se dělá jak v JS tak v PHP (oboje dohromady). V databázi správně escapuješ, i když dnes jsou již ovladače, kde to lze řešit lépe (PDO). Napadá mě ještě problém v případě, kdy vracíš nějaký soubor funkcí header, lze toho zneužít ke stažený zdrojových kódů webu. Jinak z toho co jsi napsal to vypadá dobře :)

Editováno 6.1.2013 19:37
Nahoru Odpovědět 6.1.2013 19:36
Miluji svou práci a zdejší komunitu, baví mě se rozvíjet, děkuji každému členovi za to, že zde působí.
Avatar
ondras.cepec
Člen
Avatar
ondras.cepec:

Díky sdraco. PDO vypadá složitě. Ale určitě se na to dá zvyknout. Já teda se chystám na prostudování DIBI, ale sleduju články i zde.
Mám takovej pocit že ty píšeš teďka "redakční systém a MVC v PHP" že.
Co je podle tvýho názoru lepší, naučit se PDO a nebo spíš DIBI?
díky

Nahoru Odpovědět 12.1.2013 19:14
"No to sem ještě nežral!" - Cesta do lesa
Děláme co je v našich silách, aby byly zdejší diskuze co nejkvalitnější. Proto do nich také mohou přispívat pouze registrovaní členové. Pro zapojení do diskuze se přihlas. Pokud ještě nemáš účet, zaregistruj se, je to zdarma.

Zobrazeno 3 zpráv z 3.