Безопасность и защита сайта
Любой вебмастер когда-либо задается вопросами безопасности собственных сайтов. Опытные и профессиональные разработчики делают систему защиты еще на этапе создания сайта, менее квалифицированные после первого взлома. Для того, чтобы избежать подобных ситуаций, задумайтесь об этом уже сейчас, если не сделали этого ранее.
Ключевым моментом в защите сайта является проверка входящих данных от пользователя. Например, имя и сообщение отправленное в комментарии к статье. Если принимающий скрипт заносит их в базу данных без проверки, возникает риск случайного или преднамеренного изменения структуры SQL запроса. Обычно в PHP скриптах этот запрос прописывается в кавычках и если в самом запросе присутствует какая-либо переменная, получаемая от пользователя, в нее будет достаточно задать любую цифру и поставить кавычку, а дальше продолжить уже нужный вам запрос к необходимой базе данных. Обработчик скрипта, когда дойдет до этой кавычки решит, что это конец запроса и завершит его обработку.
Это просто не только в теории, о чем свидетельствует череда взломов корпорации SONY. В прошлом году были взломаны несколько сайтов SONY, чему послужила упущенная из виду SQL-инъекция. Подробнее об этом вы можете прочитать на сайте www.securityscripts.ru.
Самое смешное в этой ситуации, что избежать этого можно, используя всего лишь одну функцию mysql_real_escape_string(). Обрабатывая все переменные, полученные извне, можно гарантированно заявить, что этот канал будет надежно защищен. Существуют конечно и другие подходы, которые не будут описаны в данной статье ввиду их сложности, но это один и самых простых методов защиты сайта и самый эффективный. Большинство злоумышленников, встретив такую защиту на сайте, просто уйдут от туда в поисках менее защищенного сайта.
В последнее время стало модно совершать такие пакости среди школьников. Они хвастаются друг перед другом на различных IT-форумах о том, как получили доступ к какому-либо сайту, чтобы показать свою квалификацию в данном вопросе. На самом же деле это говорит лишь о низком уровне мышления, которое не присуще профессиональному программисту.
Безопасность сайта - это ваша первая цель для становления профессионалом в области защиты веб-технологий. Позаботившись о защите собственного веб сайта, вы можете смело говорить о том, что он никогда не будет взломан. Самое главное останавливаться на мелочах и не забывать о них.
Тщательно обрабатывайте все переменные поступающие из внешней среды в ваши скрипты!
Смотрите также:
|