Pogčedajte punu verziju : Zastita mySQL baze
SadClown
07. 07. 2007., 16:57
Pozdrav!
Citam vec duze vreme forum i resih da pokrenem jedan tread vezan z aoblast u kojoj sam malo slab, a bilo je u raznim temama govora i o tome.
Zanima me sta sve radite da biste sacuvali integritet baze? Koje nacine zastite od upada "nezeljenih posetilaca" koristite?
Ja sam za sada na nivou izbegavanja sql injectiona preko addslashes() i stripslashes() funkcija, plus sto vodim strogo racuna o svim promenljivima koje koristim u php scriptovima.
koje jos nacine zastite znate i koristite?
Blood
07. 07. 2007., 17:12
Mislim da je bilo dosta ovakvih tema:
http://devprotalk.com/showthread.php?t=1779
http://devprotalk.com/showthread.php?t=2621
itd itd
ivanhoe
08. 07. 2007., 01:48
formalno govoreci sql injection spada u napad na aplikaciju, a ne na bazu...
pod zastitu baze ti spadaju kreiranje odgovarajucih user naloga za svaku bazu (idealno bi trebalo da postoje zasebni useri za razne akcije na bazi, sa razlicitim nivoima privilegija) i eventualno enkripcija nekih bitnih podataka u bazi (mada se ovo osim za passworde retko radi)
staseprimate
21. 10. 2007., 05:08
formalno govoreci sql injection spada u napad na aplikaciju, a ne na bazu...
Konacno da cujem normalnu izjavu povodom sqlinjection-a.
ogroman broj ljudi misli da je busna baza kada cuju taj naziv a u stvari busna je aplikacija (kod)
LiquidBrain
21. 10. 2007., 20:16
Konacno da cujem normalnu izjavu povodom sqlinjection-a.
ogroman broj ljudi misli da je busna baza kada cuju taj naziv a u stvari busna je aplikacija (kod)
ne znam gde si ti video da pise da je sql injection napad na bazu...
Misha
21. 10. 2007., 21:38
http://phpsec.org/library/
http://phpsec.org/projects/guide/
Imas sve od objasnjenja osnovnih principa do gotovih vulnerability scanner-a ... Cinjenica je da zastiti web aplikaciju ne znaci samo zastiti bazu ... jedna konstantna igra macke i misa zapravo :)
Poprilican problem su i third-party biblioteke koje koristis u projektima, i za ciji kvalitet nisi direktno odgovoran ... posto napadaci vise vole da nauce propuste u bibliotekama koje su popularne nego da traze konkretne propuste u tvojoj aplikaciji. Ovo naravno ne znaci da ti treba da se opustis ;-)
Ima tu raznoraznih tehnika, vecina je zdravo razumska ... a ona najosnovnija je ... nikad ne veruj podacima koji dolaze od korisnika ... Npr jedan banalan primer, ako promenjiva treba da je integer, nemoj da racunas da jeste i da budes lenj, nego stavi intval() ...
I tako, ima tu svega i svacega videces na ovom site-u sto sam predlozio ...
vBulletin® v3.6.8, Copyright ©2000-2024, Jelsoft Enterprises Ltd.