fejléc
Gyakori kérdések Belépés Új kérdés Véletlen kérdés
Keresés
Kezdőoldal » Számítástechnika » Programozás » Mikre kell figyelnem, hogy...

Mikre kell figyelnem, hogy minden biztonságos legyen? (PHP & MySQLi)

Figyelt kérdés
Magamnak készítek egy egyszerűbb tartalomkezelő rendszert. Mire figyeljek, hogy minden lekérdezés és adatfelvitel biztonságos legyen? mysqli_rel_escape_string-et mindenhol használok, plusz emellé a legtöbb helyen htmlspecialchars-t is. A jelszavakat sha512-el titkosítom. Kell még valami hogy biztonságos legyen a dolog? Ha valami tippet adtok egy linket is megköszönnék ahol ki van fejtve a dolog.

#php #CMS #tartalomkezelő #MySQLi
2015. máj. 17. 19:54
 1/6 anonim ***** válasza:
100%

Csak az egyszerűbb dolgokat mondom:

1. Prepared statement-ek használata a lekérdezésekhez

[link]

2. Na használj SHA512 magában, helyette PBKDF2. Ez sem tökéletes, de azért jobb.

[link]

[link]

3. Https-t használ az oldalad?

2015. máj. 17. 22:48
Hasznos számodra ez a válasz?
 2/6 anonim ***** válasza:

Az elozo valaszolo 1. pontjaval egyetertek, ha rendesen prepared statementeket csinalsz, akkor nem kell escapeles sem es sokkal biztonsagosabb lesz.


A 2. esetben en a bcrypt-et tudom meg javasolni, manapsag az a divatosabb a jelszo hashelesre.


Https meg nem feltetlenul kell tekintve, hogy ingyenes tarhelyen nem szokott lenni, fizetoson is kulon kell a cert-et fizetni es nem mindenhol olcso. Szoval tanulashoz meg magahoz a tartalom kezelo rendszerhez nem kell.

(Ellenben tamogatas legyen ra, szoval HTTP es HTTPS-en is mukodjon a rendszer, azaz ne legyenek beegetett url-ek.)



A htmlspecialchars meg hasonlo html escapelesek a kimenetnel redekesek csak, ott is szokas vegrehajtani oket, a templatekben.

(Jobb templatezo rendszerek automatikusan megteszik, ilyen pl a Twig.)

2015. máj. 18. 08:56
Hasznos számodra ez a válasz?
 3/6 A kérdező kommentje:
Köszönöm szépen a válaszokat! :) A prepared statementek használatától miért lesz biztonságosabb a rendszer?
2015. máj. 18. 14:55
 4/6 anonim ***** válasza:

Mert ott a DB maga is "tudja", hogy ott parameter van es veletlenul sem probalja SQL utasitaskent ertelmezni azt amit kap.

(Meg ugyesen hasznalva meg gyorsithati is a rendszer.)

2015. máj. 18. 16:40
Hasznos számodra ez a válasz?
 5/6 A kérdező kommentje:
De mivel jobb mintha simán real escape-t használnék?
2015. máj. 18. 17:32
 6/6 anonim ***** válasza:
100%

Nézd meg itt. A "Caution

Security: the default character set" alatt.


[link]

2015. máj. 18. 18:27
Hasznos számodra ez a válasz?

Kapcsolódó kérdések:

Számítástechnika főkategória kérdései »
Számítástechnika - Programozás kategória kérdései »




Minden jog fenntartva © 2024, www.gyakorikerdesek.hu
GYIK | Szabályzat | Jogi nyilatkozat | Adatvédelem | Cookie beállítások | WebMinute Kft. | Facebook | Kapcsolat: info(kukac)gyakorikerdesek.hu

A weboldalon megjelenő anyagok nem minősülnek szerkesztői tartalomnak, előzetes ellenőrzésen nem esnek át, az üzemeltető véleményét nem tükrözik.
Ha kifogással szeretne élni valamely tartalommal kapcsolatban, kérjük jelezze e-mailes elérhetőségünkön!