Добавлено: 14/12/03 в 04:49

подскажите плиз где почитать о защите самописных скриптов, например какие потенциальные дырки из-за незнания дела можно навалять при написании скрипта, как лучше организовывать структуру хранения данных, проверку входных параметров, как использовать htaccess ну и т.д., вобщем чтобы все было максимально по возможности защищено. А то поймал себя на мысли, что пишу вроде, а по сабжу как таковых знаний нету.

Добавлено: 14/12/03 в 11:55

При создании скрипта использовать:
1. register_globals = off
2. error_reporting = E_ALL
3. все пароли в md5

На хостинге скрипты держать обработанные при помощи Zend Encoder, особенно файл с паролями к базе.

Усе. Даже эти 4 пункта доставят хакерам много неприятностей, при условии что в скрипте нет явных ляпов.

Добавлено: 14/12/03 в 15:12

Еще совет по теме. Много дырок могут возникнуть из-за "кучности" написания. Я имею в виду, когда народ просто пишет, как пишется, потом подправляет, чтобы работало и т.п. Очень много программеров этим страдают и очень много дырок и ляпов из-за этого остается. В идеале нужен грамотный план программы и, как ни банально, блок-схема, а код - это тогда будут уже мелочи, а не так, что начали кодить сразу, а там как пойдет, дыры, типа, залатаем. Грамотно спланированный софт вообще намного лучше защищен, чем написанный тяп-ляп... Да и проблем в работе будет меньше и подправить если что проще... МОжет ничего умного и нового не скзаал, но почему-то 90% программеров забывают об этих банальностях.

Добавлено: 14/12/03 в 23:51

спасибо, еще рекомендации если есть - давайте.

еще кому не влом - напишите плиз htaccess, чтобы залочить директорию таким образом: скажем в определенной папке хранятся файлы с данными, которые обрабатиывает скрипт. нужно чтобы к ним сам скрипт имел доступ, я по фтп имел доступ, а по http://domain.com/data/data.dat файл не выводился на экран.

Добавлено: 15/12/03 в 00:40

А вот еще, хтаццесс - это директивы для апача, и к фтп не имеют ну никакого отношения..