Типичные ошибки, связанные с безопасностью при создании сайта в Ростовской области

Для того, что бы вы немного задумались, изначально просто необходимо описать и перечислить некоторые ошибки в коде или в администрировании при создании сайта в Ростовской области, наличие которых может скомпрометировать систему защиты:

Ошибка 1. Когда мы доверяем входящим данным

Прежде всего, помните, что ни в кое случае не стоит доверять данным, пришедшим из внешних источников. Именно об этом и хочется поговорить касаемо безопасности применительно к PHP-скриптам. Нет разницы, каким образом к вам попали данные : из формы, из локально расположенного файла или из переменной окружения, не верьте ничему. Что бы вам не пришло ( пользовательские даны), это обязательно должно быть проверено и отформатировано, так, чтобы мы могли быть уверены в их безвредности.

Ошибка 2. Когда мы храним уязвимые данные в дереве web-сервера

Говоря о месторасположении уязвимых данных, стоит отметить, что они должны храниться в отдельном от скрипта файле и в директории, недоступной через запрос к web-серверу. Если возникла в них какая-то необходимость, файл просто подключается к скрипту посредством require() или include().

Ошибка 3. Когда мы игнорируем рекомендации по безопасности

В руководстве к PHP существует отдельный раздел, посвященный именно различным мерам безопасности при написании и использовании PHP-скриптов. Мало того, приведены даже конкретные ситуации, когда существует риск компрометации системы защиты, а также приведены методы минимизации подобного риска. На чью неопытность или халатность рассчитывают злоумышленники в своих действиях, направленных на получение доступа к системе? Естественно речь о разработчиках и администраторах системы.

Не устанем повторять вам о том, что очень важно ответственно отнестись к защите ваших серверов от злоумышленников. Если вы поняли, что речь идет о вас, теперь будьте готовы к тому, что необходимо смотреть на ваш код в совершенно новом свете.

Статьи по теме: