Здравейте отново приятели (надявам се, нямате против да Ви наричам така)!

Тази тема е посветена на сигурността във Вашия уеб сайт.

Може би много уеб начинаещи developer-и си като мен си задават върпоси за сигурността и за:

1.Удостоверяване на самоличност

2.Реализиране на контрол върху достъпа

3.Базова автентикация

Моля всички, които желаят да споделят опита си тук.

Преди да споделя какво прочетох по въпроса, имам малко странен върпос относно темата: Използването на базова автентикация чрез .htaccess възможно ли е на сървър с Windows OC?

Ето и коментарът ми по темата:

Уеб пространосвтото е анонимна среда, но често е полезно да знаен кой посещава сайта ни. Понякога се налага да изискваме информация от потребителите или да предоставяме дискретна такава.

Реализиране на контрол върху достъпа

I.

Не е трудно да се реализира прост контрол върху достъпа.

Един обикновен скипт на php би свършил тази работа, но защитата е за една страница от уеб сайтът само. той би включвал текстови полета за име и парола, които да се сравняват с зададени име и парола(или такива, взети от база данни). Възможно е да се криптира паролата, но като цяло този метод не е за препоръчване... Всики който се интересува може да ми пише, имам готов скрипт и ще му го изпратя.

I.I.

Използването на базова автентикация с .htaccess файлове на Apache e вторият вариант. За него има много добра статия тук .

Лоша страна на този метод е, че файловете с паролите ще се причитат при всяка заявка, което не е много удобно за стотици потребители.

I.I.I

Осигуряването на сигурни транзакции е възможно чрез SSl (Secure sockets Layer). Това е най-надеждното съхраняване според мен, само дето не го разбирам добре и не мога да дам много информация.

Да но нещо е било отполза!

ПС и не дейте само да прочитате, ами ми драснете един два реда, че се колебая какво да избера.

ПС УСПЕХ!

с PHP чудесно си става защита на целия сайт ;-) Аз така го правя

Имаме index.php където се иска user и pass.

Тези user и pass се проверяват за валиднсот (вие решавате дали чрез база данни или не и ако са валидни:

$_SESSION['user']=Array(1);

header("Location: admin.php");

Примерно редирект към admin.php. После в admin.php и във всяка друга страница, вкоято искате да ограничите достъпа:

if ( ! isset($_SESSION['user']) ){

header("Location: index.php");

Така можете лесно да създадете и различни нива на достъп, като в $_SESSION['user'] сериализирате обект

Един обикновен скипт на php би свършил тази работа, но защитата е за една страница от уеб сайтът само. той би включвал текстови полета за име и парола, които да се сравняват с зададени име и парола(или такива, взети от база данни). Възможно е да се криптира паролата, но като цяло този метод не е за препоръчване... Всики който се интересува може да ми пише, имам готов скрипт и ще му го изпратя.

<{POST_SNAPBACK}>

Ето това не го разбирам, особено частта с 'Възможно е да се криптира паролата, но като цяло този метод не е за препоръчване...' Какво искаш да кажеш с това. Парола в plain текст е Нещо МНОГО Лошо!

Темата е доста обширна и популярна (доказва го и google). Като цяло има достатъчно много начини да осигуриш уеб secure с php. Можеш включително да ползваш и Apache механизми.

При положение че не се чувстваш сигурен, тогава можеш да ползваш например patUser, което е готов php клас и работата с него е елементарна.

Ето ти и един добър урок за php security - http://www.devshed.com/c/a/PHP/PHP-Security-Mistakes/

Да ви кажа честно няма за мен понятие "сигурност на сайта" . Колкото и да го усигура с всички защити , все може да се разбие . Факт е това ,че големи известни сайтове са били разбивани , и тези сайтове са били с добри защити ,но явно не довели до опазването им . Българите хакери са най-много и най-много разбират тей ,че ако искате да си предпазите сайта то тогава трябва да вкарате наколко банкноти на някой хакер да ви го направи непробиваем за такива ,като него .

Сигурността е условна.Особено ако сте подложени на DDOS атаки които са много на мода в последно време.А такава защита струва скъпичко...инфо тук: http://www.blockdos.net/

Редактирано 20 ноември 200817 г. от nikola59 (преглед на промените)

Здравейте!

Имам едно въпросче и реших да го посравя тук

На скоро си купих php скрипт за сайт…направих всичко…бази данни промени по някои неща, но има едни кодирани .php файлове в които трябва да направя още някои промени…Така, значи пpоблема е следния:

Аз разкодирам файла, правя му промените и като го кача ми дава грешки…защо, мисля че файла трябва да е кодиран за да го показва правилно, въпроса ми е:

Как да кодирам файла, след като съм го разкодирал и променил?

Имам и друг въпрос тезикодове за защита от SQL инжекции къде се слагат…в кой файл?

Ако някой може и иска да помогне нека пише на е-майл - [email protected] или на лс, недейте в темата...

Редактирано 1 февруари 200917 г. от krasimirch0 (преглед на промените)