6 Nauðsynleg ráð um öryggi til að vernda PHP síðuna þína gegn tölvusnápur

PHP síða þín er sett af stað. Til hamingju! En bíddu .. passaðir þú á nauðsynlega herða á öryggi?


PHP er létt en samt mjög öflugt forritunarmál stuðnings. Það hefur um það bil 80% af alþjóðlegum vefforritum, sem gerir það að einu algengasta tungumálinu í þróunarheiminum.

Ástæðan fyrir vinsældum sínum og víðtækri notkun er auðveld kóðaskipan og vingjarnlegur aðgerð fyrir forritara. Það er mikið af CMS og ramma sem eru byggð ofan á PHP og þúsundir þekktra forritara frá öllum heimshornum eru reglulega hluti af samfélagi þess.

Eitt frábært dæmi er WordPress.

Þegar PHP forrit eru send á lifandi netþjóna getur það lent í nokkrum tilvikum um reiðhestur og árásir á vefnum, sem gerir vefsvæðagögnin mjög viðkvæm fyrir því að fá stolið. Það er eitt af umræða umfjöllunarefna í samfélaginu, að hvernig eigi að byggja upp fullkomlega öruggt forrit og hafa í huga öll grunnmarkmið verkefnisins.

Þrátt fyrir bestu viðleitni eru verktakar alltaf á varðbergi gagnvart falnum glufur sem fara óséður meðan þeir þróa forrit. Þessar glufur geta haft alvarleg áhrif á verndun mikilvægra gagna um vefinn á einhverjum vefþjónusta fyrir PHP MySQL forrit, þannig að þau eru viðkvæm fyrir tilraunum til reiðhestur.

Svo, þessi grein er allur óður í sumir gagnlegur PHP öryggi ráð sem þú gætir notað skynsamlega í verkefnum þínum. Með þessum litlu ráðum geturðu gengið úr skugga um að umsókn þín standi alltaf ofarlega í öryggiseftirliti og komist aldrei í hættu vegna neinna utanaðkomandi vefárása.

Yfirskrift yfir skriftir (XSS)

Handrit yfir staði er ein hættulegasta utanaðkomandi árás sem gerð er með því að sprauta skaðlegum kóða eða handriti á vefsíðuna. Það getur haft áhrif á kjarna umsóknarinnar, því spjallþráðinn getur sprautað hvers konar kóða í umsókn þína án þess þó að gefa þér vísbendingu. Þessi árás á sér oftast stað á þeim vefsíðum sem viðurkenna og senda inn notandagögn.

Í XSS árás kemur sprautukóðinn í stað upprunalegs kóða vefsins þíns en virkar samt sem raunverulegur kóða sem truflar árangur vefsins og stelur oft gögnunum. Tölvuþrjótarnir komast framhjá aðgangsstýringu á umsókn þinni, fá aðgang að fótsporum þínum, fundum, sögu og öðrum mikilvægum aðgerðum.

Þú getur unnið gegn þessari árás með því að nota sérstaka HTML stafina & ENT_QUOTES í forritakóðunum þínum. Með því að nota ENT_QUOTES geturðu fjarlægt valkosti fyrir stakt og tvöfalt verðtilboð, sem gerir þér kleift að hreinsa út alla möguleika á forskriftarárás yfir vefinn.

Kross-staða beiðni fölsun (CSRF)

CSRF gefur út tölvuþrjótar fullkomna stjórnun forrita til að framkvæma allar óæskilegar aðgerðir. Með fullkomnu eftirliti geta tölvuþrjótar framkvæmt illar aðgerðir með því að flytja sýktan kóða á vefsíðuna þína, sem leiðir til þjófnaða gagna, hagnýtra breytinga o.s.frv. allan gagnagrunninn án tilkynningar, osfrv.

Aðeins er hægt að hefja CSRF árásina þegar smellt er á duldan skaðlegan hlekk sem tölvusnápurinn hefur sent. Þetta þýðir að ef þú ert nógu klár til að reikna út hina smituðu falnu forskriftir geturðu auðveldlega útilokað hugsanlega CSRF árás. Á meðan geturðu einnig notað tvær verndarráðstafanir til að styrkja öryggi appsins þinna, þ.e.a.s. með því að nota GET beiðnirnar í vefslóðinni þinni og tryggja að beiðnir sem ekki eru frá GET búa aðeins til úr kóða viðskiptavinarins þíns.

Ráðning þings

Ræningi þings er árás þar sem tölvusnápurinn stelur setuauðkenninu þínu til að fá aðgang að fyrirhuguðum reikningi. Með því að nota þessi fundarauðkenni getur tölvusnápurinn staðfestað fundinn með því að senda beiðni á netþjóninn, þar sem $ _SESSION fylki staðfestir spenntur án þess að hafa vitneskju um það. Það er hægt að framkvæma með XSS árás eða með því að fá aðgang að gögnum þar sem fundargögnin eru geymd.

Til að koma í veg fyrir að ræna fundi skaltu alltaf binda fundina við raunverulegt IP tölu þitt. Þessi framkvæmd hjálpar þér að ógilda fundi hvenær sem óþekkt brot eiga sér stað, strax til að láta þig vita að einhver er að reyna að komast framhjá lotunni þinni til að fá aðgangsstýringu forritsins. Og mundu alltaf, að afhjúpa ekki skilríki undir neinum kringumstæðum, þar sem það getur síðar skert persónu þína með annarri árás.

Koma í veg fyrir árásir á SQL inndælingu

Gagnagrunnurinn er einn af lykilþáttum forritsins sem að mestu leyti miðar af tölvusnápur í gegnum SQL innsprautunarárás. Það er tegund af árás þar sem tölvusnápur notar tilteknar URL breytur til að fá aðgang að gagnagrunninum. Árásina er einnig hægt að gera með því að nota reitir á vefsíðuformi, þar sem tölvusnápur getur breytt gögnum sem þú ert að fara í gegnum fyrirspurnir. Með því að breyta þessum reitum og fyrirspurnum getur tölvusnápurinn náð stjórn á gagnagrunninum og getur framkvæmt nokkrar hörmulegar meðhöndlun, þar á meðal að eyða öllum gagnagrunninum yfir forritið.

Til að koma í veg fyrir SQL sprautuárásir er alltaf ráðlagt að nota breytur fyrirspurnir. Þessar PDO fyrirspurnir koma í stað rökanna áður en þú keyrir SQL fyrirspurnina og útilokar í raun alla möguleika á SQL sprautuárás. Þessi framkvæmd hjálpar þér ekki aðeins að tryggja SQL fyrirspurnir þínar heldur gerir þær einnig uppbyggðar fyrir skilvirka vinnslu.

Notaðu alltaf SSL vottorð

Notaðu SSL vottorð í forritunum þínum til að fá örugga gagnaflutning frá lokum til loka. Það er alþjóðleg viðurkennd staðlaða siðareglur þekkt sem HTTPS (Hypertext Transfer Protocol) til að senda gögn á milli netþjóna á öruggan hátt. Notkun SSL vottorðs fær umsókn þína örugga gagnaflutningaleið sem gerir það næstum því ómögulegt fyrir tölvusnápur að ráðast inn á netþjóna þína.

Allir helstu vafrar eins og Google Chrome, Safari, Firefox, Opera og aðrir mæla með því að nota SSL vottorð þar sem það býður upp á dulkóðaða siðareglur til að senda, taka á móti og afkóða gögn á netinu.

Fela skrár úr vafranum

Það er sérstök skráasafn í ör PHP ramma sem tryggir geymslu á mikilvægum ramma skrám eins og stýringar, gerðum, stillingarskránni (.yaml) osfrv..

Oftast eru þessar skrár ekki unnar af vafranum en samt er verið að sjá þær í vafranum í lengri tíma og byggja öryggisbrot fyrir forritið.

Svo skaltu alltaf geyma skrárnar þínar í opinberri möppu, frekar en að geyma þær í rótaskránni. Þetta mun gera þær aðgengilegar í vafranum og fela virkni allra mögulegra árásarmanna.

Niðurstaða

PHP forrit eru alltaf viðkvæm fyrir utanaðkomandi árásum, en með ráðunum sem nefnd eru hér að ofan geturðu auðveldlega tryggt kjarna umsóknar þinnar gegn skaðlegum árásum. Með því að vera verktaki er það á þína ábyrgð að vernda gögn vefsíðunnar þinna og gera þau villulaus.

Fyrir utan þessi ráð geta margar aðferðir hjálpað þér að tryggja vefforritið þitt frá utanaðkomandi árásum, eins og að nota bestu skýhýsingarlausnina sem tryggir að þú hafir bestu öryggisaðgerðir, ský WAF, skipulag rótar skjals, hvítlista IP tölur og fleira.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map