PHP-ban védelem támadás ellen?
Nem igazán vagyok otthon a hackerkedésben, de van egy olyan sanda gyanúm, hogy biztosan lehet "leterhelni" egy oldalt. Az oldalamon sok olyan oldal van, ahol akár 5-6 (php) mysql lekérdezés van. Hogy ha valaki(k) nagyon gyors internettel elkezdik frissíteni az oldalt, vagy valami hasonló akkor az nagyon leterhelheti a szervert. Erre van valami megoldás?
Esetleg ez elég védekezésnek?:
Ugyebár bejelentkezve tudják ezeket csak használni.
- létrehozok adatbázisban egy x, illetve egy y oszlopot a fiókoknál
- minden egymást követő azonos művelet után a fiókjánál az x nevű oszlopban hozzáad 1-t a meglévő értékhez, és mellé a jelenlegi dátumot az y oszlopba.
Minden x hozzadás után az y-t is felül írja.
Ha az X>3, akkor az y-t már nem írja felül, és a lekérdezések csak akkor mennek végbe, ha az y értéke és jelenlegi idő közötti különbség nagyobb mint pl: 10mp.
Így ha egymás után 3 azonos műveletet végez el, akkor várnia kell 10mp-t, hogy újra elvégezhesse. Ezzel ki lehet védeni az ilyen "támadásokat"? Vagy esetleg van erre, valami más/biztosabb megoldás?
válasza:
válasza:Ha sz*rul van megírva az oldal és gyenge a szerver, akkor de simán le lehet úgy is!
Optimalizáld a lekéréseket, tömködd be a réseket a kódban.
A terheléses támadás ellen PHP-ból nem lehet olyan sokat tenni. Ehhez inkább a http szervert magát, vagy a tűzfalat kell finomítgatni. (Amihez ingyenes táron nincs hozzáférésed, de még a fizetősökön sem.)
Ez a késleltetés dolog ötletnek jó, de ahhoz, hogy "ellenőrizd" az érték nagyságát ugyan úgy lekérést kell csinálni, ráadásul az egyes műveletnél ezt ismételni kell, szóval inkább negatív hatása lenne.
válasza:Leterhelés ellen késleltetés az jó megoldás, ill. figyelj az adatok szűrésére (htmlspecialchars, mysql_real_scape_string, és társaik).
Én ennyit tudok javasolni.
válasza: válasza:Én azt javaslom logold a felhasználói tevékenységet a honlapodon. Pl adatbázisba.
Tartalmazza a felhasználó IP címet, a meghívott oldal url-jét, a pontos dátumot, és a végzett tevékenységet (bejelentkezés, üzenetküldés, adatmódosítás...).
Egy kis script segítségével blokkolhatod a látogatókat ip cím alapján, ha úgy látod, hogy hackerkedett az illető (bár egy értelmes hacker hamis ip alól ügyködik), de rendőrségi feljelentést is tehetsz a log és az ip alapján (ha az oldalad nem egy ingyenes tárhelyen van, és a domainért fizettél)
válasza:1,"Én azt javaslom logold a felhasználói tevékenységet a honlapodon. Pl adatbázisba. Tartalmazza a felhasználó IP címet, a meghívott oldal url-jét, a pontos dátumot, és a végzett tevékenységet (bejelentkezés, üzenetküldés, adatmódosítás...)."
- Ez csak még jobban terhelné szerintem.
2,"Egy kis script segítségével blokkolhatod a látogatókat ip cím alapján, ha úgy látod, hogy hackerkedett az illető"
- Már írtam egy ilyet, de olyan túl sok értelme nincs. Egyrészt azért, amit te is írtál, hogy más IPről "dolgozik", másrészt pedig lehet dinamikus IPje is.
A tárhelyem fizetős, esetleg itt tudok valamit tenni az ügy érdekében?
válasza:Kapcsolódó kérdések:
Minden jog fenntartva © 2024, www.gyakorikerdesek.hu
GYIK | Szabályzat | Jogi nyilatkozat | Adatvédelem | Cookie beállítások | WebMinute Kft. | Facebook | Kapcsolat: info(kukac)gyakorikerdesek.hu
Ha kifogással szeretne élni valamely tartalommal kapcsolatban, kérjük jelezze e-mailes elérhetőségünkön!