Witam, czytałem ostatnio arta pt. Skrypty za "50zł" na przykładzie "demotywatory by lerto.pl" i nabrałem pewnych obaw czy moje metody zabezpieczania konta admin są wystarczająco bezpieczne.
Jestem początkującym programistą i zdaje sobie sprawę że moje wypociny posiadają wiele dziur, przez które można w łatwy sposób włamać się na konto. Dlatego chciałem przedstawić mechanizm jakim kieruje się tworząc strony i liczę że wskażesz mi błędy oraz nakierujesz na właściwe tory.
SQL Injection
Czytałem ostatnio o SQL Injection i staram się w jakimś stopniu filtrować dane pobierane z GET oraz z formularzy.
Robię to przeważnie w taki sposób:
XSS
W Twoim artykule wspominałeś o XSS. Niestety nigdy nie spotkałem się z tą tematyką i nie mam pojęcia w jaki "prosty" sposób można zabezpieczyć witrynę przed atakiem.
Konto użytkownika i admina
Hasło każdego użytkownika jest zakodowane przez md5 z dodatkową solą. Każdy user w tabeli ma pole "uprawnienia" i jeżeli jest zwykłym userem to ma przypisaną cyferkę np. 18, a admin cyferkę np. 93
Na stronię robię takie warunek dla usera:
A dla admina:
Podejrzewam że tutaj jest największe ryzyko, ale w jaki sposób mogę je zminimalizować to już nie wiem.
To tyle jeśli chodzi o moje bezpieczeństwo. Prosiłbym o jakieś wskazówki, porady.
Pozdrawiam
Jestem początkującym programistą i zdaje sobie sprawę że moje wypociny posiadają wiele dziur, przez które można w łatwy sposób włamać się na konto. Dlatego chciałem przedstawić mechanizm jakim kieruje się tworząc strony i liczę że wskażesz mi błędy oraz nakierujesz na właściwe tory.
SQL Injection
Czytałem ostatnio o SQL Injection i staram się w jakimś stopniu filtrować dane pobierane z GET oraz z formularzy.
Robię to przeważnie w taki sposób:
1
$dane = mysql_real_escape_string(trim($_POST['dane']));
XSS
W Twoim artykule wspominałeś o XSS. Niestety nigdy nie spotkałem się z tą tematyką i nie mam pojęcia w jaki "prosty" sposób można zabezpieczyć witrynę przed atakiem.
Konto użytkownika i admina
Hasło każdego użytkownika jest zakodowane przez md5 z dodatkową solą. Każdy user w tabeli ma pole "uprawnienia" i jeżeli jest zwykłym userem to ma przypisaną cyferkę np. 18, a admin cyferkę np. 93
Na stronię robię takie warunek dla usera:
1
if ($_SESSION["zalogowany"]=="tak" && $_SESSION["access"]=="18")
A dla admina:
1
if ($_SESSION["zalogowany"]=="tak" && $_SESSION["access"]=="93")
Podejrzewam że tutaj jest największe ryzyko, ale w jaki sposób mogę je zminimalizować to już nie wiem.
To tyle jeśli chodzi o moje bezpieczeństwo. Prosiłbym o jakieś wskazówki, porady.
Pozdrawiam
);
