| SadClown |
07. 07. 2007. 16:57 |
Zastita mySQL baze
Pozdrav!
Citam vec duze vreme forum i resih da pokrenem jedan tread vezan z aoblast u kojoj sam malo slab, a bilo je u raznim temama govora i o tome.
Zanima me sta sve radite da biste sacuvali integritet baze? Koje nacine zastite od upada "nezeljenih posetilaca" koristite?
Ja sam za sada na nivou izbegavanja sql injectiona preko addslashes() i stripslashes() funkcija, plus sto vodim strogo racuna o svim promenljivima koje koristim u php scriptovima.
koje jos nacine zastite znate i koristite?
|
| Blood |
07. 07. 2007. 17:12 |
|
| ivanhoe |
08. 07. 2007. 01:48 |
formalno govoreci sql injection spada u napad na aplikaciju, a ne na bazu...
pod zastitu baze ti spadaju kreiranje odgovarajucih user naloga za svaku bazu (idealno bi trebalo da postoje zasebni useri za razne akcije na bazi, sa razlicitim nivoima privilegija) i eventualno enkripcija nekih bitnih podataka u bazi (mada se ovo osim za passworde retko radi)
|
| staseprimate |
21. 10. 2007. 05:08 |
Citat:
Originalno napisao ivanhoe
(Napišite 38554)
formalno govoreci sql injection spada u napad na aplikaciju, a ne na bazu...
|
Konacno da cujem normalnu izjavu povodom sqlinjection-a.
ogroman broj ljudi misli da je busna baza kada cuju taj naziv a u stvari busna je aplikacija (kod) |
| LiquidBrain |
21. 10. 2007. 20:16 |
Citat:
Originalno napisao staseprimate
(Napišite 45015)
Konacno da cujem normalnu izjavu povodom sqlinjection-a.
ogroman broj ljudi misli da je busna baza kada cuju taj naziv a u stvari busna je aplikacija (kod)
|
ne znam gde si ti video da pise da je sql injection napad na bazu... |
| Misha |
21. 10. 2007. 21:38 |
http://phpsec.org/library/
http://phpsec.org/projects/guide/
Imas sve od objasnjenja osnovnih principa do gotovih vulnerability scanner-a ... Cinjenica je da zastiti web aplikaciju ne znaci samo zastiti bazu ... jedna konstantna igra macke i misa zapravo :)
Poprilican problem su i third-party biblioteke koje koristis u projektima, i za ciji kvalitet nisi direktno odgovoran ... posto napadaci vise vole da nauce propuste u bibliotekama koje su popularne nego da traze konkretne propuste u tvojoj aplikaciji. Ovo naravno ne znaci da ti treba da se opustis ;-)
Ima tu raznoraznih tehnika, vecina je zdravo razumska ... a ona najosnovnija je ... nikad ne veruj podacima koji dolaze od korisnika ... Npr jedan banalan primer, ako promenjiva treba da je integer, nemoj da racunas da jeste i da budes lenj, nego stavi intval() ...
I tako, ima tu svega i svacega videces na ovom site-u sto sam predlozio ...
|
| Vreme je GMT +2. Trenutno vreme je 03:16. |
|
Powered by vBulletin® Verzija 3.6.8
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
Copyright © DevProTalk. All Rights Reserved.
Mišljenja, saveti, izjave, ponude ili druge informacije ili sadržaji nastali na Sajtu su vlasništvo onoga ko ih je kreirao, a ne DevProTalk.com, tako da ne morate da se oslanjate na njih.
Autori poruka su jedini odgovorni za ovakve sadržaje. DevProTalk.com ne garantuje tačnost, kompletnost ili upotrebnu vrednost informacija, stavova, saveta ili datih izjava. Ne postoje uslovi pod kojima bi mi bili odgovorni za štetu ili gubitak koji je posledica bilo čijeg oslanjanja na nepouzdane informacije, ili bilo kakve informacije nastale kroz komunikaciju između registrovanih članova.Web sajt može sadržavati linkove na druge web sajtove na Internetu ili neke druge sadržaje. Ne kontrolišemo niti podržavamo te druge web sajtove, niti smo pregledali bilo kakve sadržaje na takvim sajtovima. Mi nećemo biti odgovorni za legalnost, tačnost ili prikladnost bilo kog sadržaja, oglasa, proizvoda, usluga ili informacije lociranim na ili distribuiranih kroz druge web sajtove, niti za bilo kakvu štetu nastalu kao posledica takvih informacija. DevProTalk.com drži i čuva druga prava vlasništva na web sajtu. Web sajt sadrže materijale zaštićene copyright-om, zaštitne znakove i druge informacije o pravu vlasništva ili softver. Članovi mogu poslatu informacije zaštićene pravima vlasništva njihovih nosilaca i ona ostaju zaštićena bez obzira da li su oni koji prenose te informacije to naveli ili ne. Osim informacija koje su u javnom vlasništvu ili za koje dobijete dozvolu, nemate pravo da kopirate, modifikujete ili na bilo koji način menjate, objavljujete, prenosite, distribuirate, izvršavate, prikazujete ili prodajte bilo koju informaciju zaštićenu pravima vlasništva. Slanjem informacija ili sadržaja na bilo koji deo DevProTalk.com, Vi automatski dozvoljavate i predstavljate garanciju da imate pravo da dozvolite DevProTalk.com ili članovima DevProTalk.com bespovratnu, kontinualnu, neograničenu, globalnu dozvolu da koriste, kopiraju, izvršavaju, prikazuju i distribuiraju takve informacije i sadržaje i da iz takvih sadžaja koriste bilo koji deo u bilo koje svrhe, kao i pravo i dozvolu da koriste gore navedene sadržaje. Svi zaštitni znakovi (trademarks), logotipi, oznake usluga, firme ili imena proizvoda koji se pominju na ovom web sajtu su vlasništvo kojim raspolažu njihovi vlasnici.
