Sicurezza PHP/MySQL - da dove cominciare?

Question

Sono un noob PHP/MySQL che non sa nulla della sicurezza online.

Potrebbe indicarmi alcune risorse che aiuteranno nella mia conoscenza? (Livello principiante, per favore!)

Answer 1

Suggerirò due cose:

1. Assicurarsi che Register_globals sia spento.
2. Utilizzare prepared statements.

Answer 2

This domanda è ben risposto, e copre attacchi di iniezione di MySQL (una delle preoccupazioni più comuni. This questione è anche ben documentato e copre XSS (Cross Site Scripting) attacchi bene.

Infine, scopri PHP.INI e come impostarlo e cosa è effettivamente aperto/chiuso e acceso/spento. Un buon host, ad esempio, non accenderà mai i globali dei registri, ma dovresti almeno sapere di cosa si tratta e perché controllarlo PHP Security ha risorse su questo e molti altri problemi di sicurezza di PHP

Answer 3

PHP potrebbe non essere il migliore inizio. Soprattutto se stai facendo girare a mano il tuo codice. Non tiene esattamente la mano con problemi di sicurezza. (Fd: Vorrei che PHP sarebbe andato via per una serie di motivi.)

Ma alcune regole generali:

• non mi fido di tutto ciò che viene dall'esterno. Assumi sempre che l'utente è un cretino che tenta di interrompere la tua app. Molti di loro non lo saranno, certo, ma alla fine ce ne sarà uno che lo è. Solo perché hai dato al browser uno <select> contenente a, b e c non significa che ne riceverai uno indietro. Javascript non è una garanzia di nulla. I referenti possono essere facilmente falsificati. I dati POST possono essere facilmente falsificati. Le caselle di testo possono contenere qualsiasi carattere, non solo quelli che ti aspetti.
• Non copiare e incollare il codice di altri in produzione se non si è sicuri di come funziona. Non hai idea di quanta attenzione ha l'autore per la sicurezza. Nella mia esperienza, il copypasta PHP in particolare sembra essere meno affidabile ma più spesso riutilizzato ciecamente.
• Non fidarti di te stesso per eseguire lo stesso rituale in dozzine di luoghi diversi. Sì, mysql_real_escape_string() risolverà l'iniezione SQL, ma poi devi ricordarti di usarlo ovunque. Questo crea un sacco di posti in cui potresti commettere un errore e dimenticare il tuo rituale di fuga. Utilizzare invece istruzioni preparate e il problema scompare interamente. Un altro esempio: Pylons (un framework Python) installa i suoi template in modo tale che ogni variabile sia in HTML-escape a meno che tu non chieda esplicitamente altrimenti. XSS non è più un problema e non devo mai preoccuparmi di eseguire manualmente l'escape di tutto ciò che stampo.

Answer 4

Chris Shiflett è il go-to guy sulla programmazione PHP e la sicurezza:

• http://phpsecurity.org/ per il suo libro "Essential PHP Security"
• http://shiflett.org/ per il suo sito web, blog, ecc
• È Speaking su CodeWorks PHP in settembre/ottobre.

Answer 5

Se avete un po 'di tempo, si potrebbe dare un'occhiata alle slide utilizzate da Stefan Esser durante la sua conference at the Dutch PHP Conference a pochi mesi fa, che titolo era "Crash Course PHP Security per principianti".

ci sono un paio di PDF:

• Part I - Introduction
• Part II - XSS
• Part III -CSRF
• Part IV - SQL Security
• Part V - Session Management Security
• Part VI + VII - PHP Code Inclusion and PHP Code Evaluation

Questi potrebbero essere utili.

Quindi, non esitate a cercare un po 'per informazioni specifiche non PHP: alcuni problemi di sicurezza (come XSS, SQL Injections, CSRF, ...) non sono specifici per PHP: solo i mezzi tecnici per evitare loro sono specifici; quindi, potresti trovare molte informazioni su siti come Wikipedia o OWASP website