Pozdrav!

Citam vec duze vreme forum i resih da pokrenem jedan tread vezan z aoblast u kojoj sam malo slab, a bilo je u raznim temama govora i o tome.

Zanima me sta sve radite da biste sacuvali integritet baze? Koje nacine zastite od upada "nezeljenih posetilaca" koristite?

Ja sam za sada na nivou izbegavanja sql injectiona preko addslashes() i stripslashes() funkcija, plus sto vodim strogo racuna o svim promenljivima koje koristim u php scriptovima.

koje jos nacine zastite znate i koristite?

Mislim da je bilo dosta ovakvih tema:
http://devprotalk.com/showthread.php?t=1779
http://devprotalk.com/showthread.php?t=2621
itd itd

formalno govoreci sql injection spada u napad na aplikaciju, a ne na bazu...

pod zastitu baze ti spadaju kreiranje odgovarajucih user naloga za svaku bazu (idealno bi trebalo da postoje zasebni useri za razne akcije na bazi, sa razlicitim nivoima privilegija) i eventualno enkripcija nekih bitnih podataka u bazi (mada se ovo osim za passworde retko radi)

formalno govoreci sql injection spada u napad na aplikaciju, a ne na bazu...

Konacno da cujem normalnu izjavu povodom sqlinjection-a.
ogroman broj ljudi misli da je busna baza kada cuju taj naziv a u stvari busna je aplikacija (kod)

Konacno da cujem normalnu izjavu povodom sqlinjection-a.
ogroman broj ljudi misli da je busna baza kada cuju taj naziv a u stvari busna je aplikacija (kod)

ne znam gde si ti video da pise da je sql injection napad na bazu...

http://phpsec.org/library/
http://phpsec.org/projects/guide/

Imas sve od objasnjenja osnovnih principa do gotovih vulnerability scanner-a ... Cinjenica je da zastiti web aplikaciju ne znaci samo zastiti bazu ... jedna konstantna igra macke i misa zapravo :)

Poprilican problem su i third-party biblioteke koje koristis u projektima, i za ciji kvalitet nisi direktno odgovoran ... posto napadaci vise vole da nauce propuste u bibliotekama koje su popularne nego da traze konkretne propuste u tvojoj aplikaciji. Ovo naravno ne znaci da ti treba da se opustis ;-)

Ima tu raznoraznih tehnika, vecina je zdravo razumska ... a ona najosnovnija je ... nikad ne veruj podacima koji dolaze od korisnika ... Npr jedan banalan primer, ako promenjiva treba da je integer, nemoj da racunas da jeste i da budes lenj, nego stavi intval() ...

I tako, ima tu svega i svacega videces na ovom site-u sto sam predlozio ...