Biztonságos a weboldalam?
Sziasztok, egy cég számára készítettem egy weboldalt, viszont a biztonság részhez nem nagyon értek. Aki ért pl az SQL Injectionhoz vagy hasonló okosságokhoz megpróbálhatná feltörni és jelezni hogy jutott be.
Az oldal címe: [link]
válasza:"$query = mysqli_query($connection,"SELECT * FROM users WHERE Username = '$username'")"
Oké, ez úgy sz*r ahogy van és akkor finoman fejeztem ki magam.
A kérdésre NEM, egyáltalán nem biztonságos az oldalad.
Jó jel, hogy legalább mysqli-t használsz, de ez tipikus példája a ROSSZ használatának.
(A weboldal "minőségét" már inkább nem is véleményezem.)
válasza:Először is, próbáld átírni a lekérdezéseket, hogy a mysqli objektum-jellegű lekérdezéseivel működjön, sok kellemetlenségtől megkíméled magad, és még tanulsz is.
Az sql injection ellen mysqli esetében a mysqli-real-escape-string funkcióval védekezhetsz:
Alul példák is sorakoznak.
Persze a legtökéletesebb az lenne, ha PDO-t használnál. Elsőre kicsit bonyolultnak tűnik, de ha megtanulod a logikáját, akkor nagyon egyszerű a használata.
Captcha: a képes, karakterpötyögő captcháknak lejárt az idejük. A legtöbb törhető programmal, ráadásul a látogatók utálják, ha nem bírnak valamit kibetűzni, ezért én inkább a slider-captchát javasolnám. Egyszerű, gyakorlatilag annyira törhető csak, mint a mögöttes php, és a látogatók se szenvednek miatta.
válasza:"Persze a legtökéletesebb az lenne, ha PDO-t használnál."
Minek?
A Mysqli és a PDO között pusztán kb annyi a különbség, hogy a PDO több DB-t kezel, de cserébe a mysqli gyrosabb.
Igen kérdező ebben igazad van, de valamit valamiért. Van amikor a gyrosabb db kezelő többet tod hozni, mint amit a PDO miatt veszítesz.
Kapcsolódó kérdések:
Minden jog fenntartva © 2024, www.gyakorikerdesek.hu
GYIK | Szabályzat | Jogi nyilatkozat | Adatvédelem | Cookie beállítások | WebMinute Kft. | Facebook | Kapcsolat: info(kukac)gyakorikerdesek.hu
Ha kifogással szeretne élni valamely tartalommal kapcsolatban, kérjük jelezze e-mailes elérhetőségünkön!