Diskuze: Bezpečnosť PHP a školácke chyby
V předchozím kvízu, Online test znalostí PHP, jsme si ověřili nabyté zkušenosti z kurzu.
Člen
Zobrazeno 8 zpráv z 8.
V předchozím kvízu, Online test znalostí PHP, jsme si ověřili nabyté zkušenosti z kurzu.
Medzi školácke chyby patrí obzvlášť umožnenie injektáže použitím neošetrených vstupov od užívateľa. Čiže možnosť XSS útoku - priamym vložením užívateľských vstupov do výstupu a možnosť SQL injekcie - priamym vložením užívateľských vstupov do SQL príkazu. A tretia najčastejšia chyba je nezvládnutý session management - napríklad umožnenie CSRF útoku. Tieto tri sú úplne školácke, aj web začínajúci programátor by mal s týmito vektormi a obranou proti nim oboznámený.
Diki moc ! A kde sa dá toto všetko naučiť ? Poprípade kde to nájdem.Ako to napísať tak aby to bolo zavreté a nedalo sa to napichnúť ?
Stačí kliknout do navigačního menu - https://www.itnetwork.cz/php/bezpecnost
Ono to síce vyzerá, že si David prihrieva vlastnú polievočku, ale aj ja sám Ti v tejto problematike skôr odporúčam ísť na školenie, ako to skúsiť vygoogliť. Keďže o tom nič nevieš, určite o tom niečo vygoogliš, ale ... vygoogliš o tom všetko? Podľa mňa nie. A nie preto, že by to nešlo dohľadať na google, ale preto, že ani nemáš odkiaľ vedieť ČO VŠETKO by si mal o tom vyhľadať. Neriskuj, že o tom zistíš A, ale nedozvieš sa, že treba vedieť aj B a tým pádom ochrániš stránky len polovičato, v domnení, že si ich ochránil kompletne. Choď na školenie a vypočuj si a pýtaj sa človeka, čo už o tom vie, pozná aj súvisiacu problematiku a vysvetlí Ti to komplexne, nie čiastkovo.
Nemám nic z toho jestli si to přečte nebo ne, jsou to články zdarma od zdejších autorů. Ptal se na školácké chyby, ty tam jsou popsané včetně obrany proti nim. Proto jsem mu ten odkaz poslal. Školení bezpečnosti jsou docela drahá a IMHO má smysl na ně jít až když se o to bude prioritně zajímat, základ mu opravdu stačí z Googlu.
Veď vidíš sám, že ja som to myslel voči Tebe a itn dobre... Ale nesúhlasím s tým, že stačí google. Už len logika odporuje. Ako chceš niečo vyhľadať, keď nevieš čo máš vyhľadať? Google naopak pomôže len keď sa už v problematike orientuješ a chceš nájsť nejakú konkrétnejšiu radu, alebo inšpiráciu na riešenie. Ale inak, na začiatku, nie je google dobrý nápad. A už vôbec nie w3schools voči ktorému už nájdeš na nete ťaženie za jeho zastaralosť, ani stackoverflow, voči ktorému tiež nájdeš ťaženie odborníkov. Hľadaj článok "stackoverflow considered harmful". Odborníci síce majú v zuboch hlavne rady na použitie šifrovania a ide tam o Javu, ale ver tomu, že to je všeobecný problém a čo sa týka bezpečnosti web aplikácií, googlenie proste nie je pre začiatočníkov dobrá rada / nápad / nasmerovanie. Podľa mňa práve na začiatku to chce školenie, ozrejmiť princípy, poukázať na vektory a prebrať s nimi aspoň owasp top ten na praktických príkladoch.
Zobrazeno 8 zpráv z 8.