PHP saytınızı hakerlərdən qorumaq üçün 6 vacib təhlükəsizlik tövsiyələri

PHP saytınız işə salındı. Tebrik edirik! Ancaq gözləyin .. əsas təhlükəsizliyin sərtləşməsinə əhəmiyyət verdinizmi??


PHP yüngül, lakin çox güclü bir geribildirim proqramlaşdırma dilidir. Qlobal veb tətbiqetmələrin təxminən 80% -ni gücləndirərək inkişaf dünyasında ən çox istifadə edilən dillərdən birinə çevirir.

Populyarlığının və geniş istifadəsinin səbəbi asan kodlaşdırma quruluşu və inkişaf etdiriciyə uyğun funksiyalarıdır. PHP-nin üstündə qurulmuş çox sayda CMS və çərçivə mövcuddur və dünyanın dörd bir tərəfindən məşhur minlərlə inkişaf etdiricisi cəmiyyətinin nizamlı bir hissəsidir.

Böyük bir nümunə WordPress-dir.

PHP tətbiqetmələri canlı serverlərdə yerləşdirildikdə, bir neçə saytın hücumu və veb hücumları ilə üzləşə bilər ki, bu da sayt məlumatlarını oğurlanmaq üçün olduqca həssas edir. Bu, cəmiyyətin ən çox müzakirə olunan mövzularından biridir. Layihənin bütün əsas hədəflərini yoxlayaraq tamamilə etibarlı bir tətbiq necə qurulmasıdır..

Ən yaxşı səylərinə baxmayaraq, tərtibatçılar həmişə tətbiq tətbiq edərkən gözdən yayınan gizli boşluqlardan ehtiyat edirlər. Bu boşluqlar həyati əhəmiyyətli məlumatların qorunmasına ciddi şəkildə güzəştə gedə bilər PHP MySQL üçün veb hosting tətbiqləri, hack cəhdlərinə görə həssas buraxır.

Beləliklə, bu məqalə, layihələrinizdə ağıllı istifadə edə biləcəyiniz bəzi faydalı PHP təhlükəsizlik tövsiyələri haqqında. Bu kiçik tövsiyələrdən istifadə edərək, tətbiqinizin həmişə təhlükəsizlik yoxlamalarında yüksək olduğuna və heç vaxt xarici veb hücumlarına məruz qalmadığına əmin ola bilərsiniz..

Saytlararası skript (XSS)

Xaç saytı skriptləri veb saytına hər hansı bir zərərli kodu və ya skript vuraraq həyata keçirilən ən təhlükəli xarici hücumlardan biridir. Tətbiqinizin nüfuzuna təsir göstərə bilər, belə ki, haker sizə heç bir işarə vermədən tətbiqinizə istənilən növ kodu daxil edə bilər. Bu hücum əsasən istifadəçi məlumatlarını qəbul edən və təqdim edən saytlarda olur.

Bir XSS hücumunda, enjekte edilmiş kod veb saytınızın orijinal kodunu əvəz edir, saytın fəaliyyətini pozan və tez-tez məlumatları oğurlayan bir aktual kod kimi işləyir. Hakerlər peçenye, sessiya, tarix və digər həyati funksiyalara giriş əldə edərək tətbiqetmənin giriş nəzarətini kənara qoyurlar.

Bu xüsusi HTML’i istifadə edərək bu hücuma qarşı çıxa bilərsiniz & Tətbiq kodlarınızda ENT_QUOTES. ENT_QUOTES istifadə edərək, saytlararası skript hücumunun hər hansı bir ehtimalını təmizləməyə imkan verən tək və cüt təklif təkliflərini silə bilərsiniz..

Sahələrarası sorğu bağışlama (CSRF)

CSRF, istənilən arzuolunmaz hərəkəti həyata keçirmək üçün tətbiqetmənin tam nəzarətini hakerlərə təqdim edir. Tam nəzarətlə, hakerlər yoluxmuş kodu veb saytınıza köçürməklə zərərli əməliyyatlar həyata keçirə bilər, nəticədə məlumat oğurluğu, funksional dəyişikliklər və s. Hücum istifadəçiləri şərti istəkləri dəyişdirərək dağıdıcı olanlara dəyişdirməyə məcbur edir. heç bir bildiriş olmadan bütün verilənlər bazası və s.

CSRF hücumu yalnız haker tərəfindən göndərilən gizli zərərli linki vurduğunuzdan sonra başlaya bilər. Bu o deməkdir ki, yoluxmuş gizli skriptləri anlamaq üçün kifayət qədər ağıllı olsanız, hər hansı bir potensial CSRF hücumunu asanlıqla istisna edə bilərsiniz. Bununla yanaşı, tətbiqinizin təhlükəsizliyini möhkəmləndirmək üçün iki qoruyucu tədbirdən də istifadə edə bilərsiniz, yəni URL’inizdəki GET sorğularından istifadə edərək və GET olmayan sorğuların yalnız müştəri tərəfinizdəki koddan yarandığını təmin etməklə.

Sessiya Qaçırma

Sessiya qaçırılması, hacker, nəzərdə tutulan hesaba girmək üçün sessiya nömrənizi oğurladığı bir hücumdur. Sessiya ID istifadə edərək, hacker serverə bir sorğu göndərərək sessiyanızı təsdiqləyə bilər, burada $ _SESSION serialı iş vaxtını bilginizdə saxlamadan təsdiqləyir. Bir XSS hücumu və ya sessiya məlumatlarının saxlandığı məlumatları əldə etməklə həyata keçirilə bilər.

Sessiyanın qaçırılmasının qarşısını almaq üçün hər dəfə iclaslarınızı həqiqi IP ünvanınıza bağlayın. Bu təcrübə, bilinməyən bir pozuntu baş verdikdə sessiyaları etibarsız hala gətirməyə kömək edir, dərhal kiminsə tətbiqetmə girişini idarə etmək üçün sessiyanızı yan keçməyə çalışdığını xəbər verir. Həmişə yadınıza salın ki, hər hansı bir vəziyyətdə şəxsiyyət sənədlərinizi ifşa etməməlisiniz, çünki sonradan başqa bir hücumla şəxsiyyətinizi güzəştə gedə bilər.

SQL enjeksiyon hücumlarının qarşısını al

Verilənlər bazası, SQL injection hücumu ilə hakerlər tərəfindən hədəf alınan bir tətbiqin əsas komponentlərindən biridir. Bu, hakerin verilənlər bazasına daxil olmaq üçün müəyyən URL parametrlərindən istifadə etdiyi bir hücum növüdür. Hücum, veb-forma sahələrindən istifadə etməklə də edilə bilər, burada haker sizin sorğulardan keçdiyiniz məlumatları dəyişdirə bilər. Bu sahələri və sorğuları dəyişdirərək, hacker verilənlər bazanızı idarə edə bilər və bütün tətbiq verilənlər bazasını silmək daxil olmaqla bir neçə fəlakətli manipulyasiya edə bilər..

SQL inyeksiya hücumlarının qarşısını almaq üçün həmişə parametrləşdirilmiş sorğuları istifadə etmək tövsiyə olunur. Bu PDO sorğuları SQL sorğusunu işə salmadan əvvəl arqumentləri düzgün şəkildə əvəz edir, bir SQL injection hücumu ehtimalını effektiv şəkildə istisna edir. Bu təcrübə yalnız SQL sorğularınızı təmin etməyə kömək etmir, həm də onları səmərəli işləmə üçün quruluşlu edir.

Həmişə SSL sertifikatlarından istifadə edin

İnternet üzərindən sona qədər təhlükəsiz məlumat ötürülməsi əldə etmək üçün həmişə tətbiqlərinizdə SSL sertifikatlarından istifadə edin. Serverlər arasında məlumatları etibarlı şəkildə ötürmək üçün Hypertext Transfer Protocol (HTTPS) kimi tanınan dünya miqyasında tanınmış standart bir protokoldur. Bir SSL sertifikatı istifadə edərək, tətbiqetməniz hackerlərin serverlərinizə girməsini demək olar ki mümkünsüz edən təhlükəsiz məlumat ötürmə yolunu əldə edir.

Google Chrome, Safari, Firefox, Opera və başqaları kimi bütün əsas veb brauzerlər SSL sertifikatından istifadə etməyi tövsiyə edir, çünki internet üzərindən məlumat ötürmək, almaq və şifrələmək üçün şifrəli bir protokol təqdim edir..

Faylları brauzerdən gizlət

Mikro PHP çərçivələrində kontrollerlər, modellər, konfiqurasiya faylı (.yaml) və s. Kimi vacib çərçivə sənədlərinin saxlanmasını təmin edən xüsusi bir kataloq quruluşu mövcuddur..

Çox vaxt bu fayllar brauzer tərəfindən işlənmir, lakin daha uzun müddət brauzerdə görülür, tətbiq üçün təhlükəsizlik pozuntusu yaradılır.

Beləliklə, fayllarınızı kök qovluğunda saxlamaqdan daha çox, ümumi bir qovluqda saxlayın. Bu, onları brauzerdə daha az əlçatan edəcək və funksiyaları istənilən potensial hücumçudan gizlədəcəkdir.

Nəticə

PHP tətbiqləri həmişə xarici hücumlara qarşı həssasdır, lakin yuxarıda göstərilən ipuçlarını istifadə edərək, tətbiqinizin nüvələrini hər hansı bir zərərli hücumdan asanlıqla təmin edə bilərsiniz. Bir geliştirici olaraq veb saytınızın məlumatlarını qorumaq və səhvsiz etmək məsuliyyətinizdir.

Bu göstərişlərdən əlavə, bir çox üsul veb tətbiqinizi xarici hücumlardan qorumağa kömək edə bilər, məsələn, optimal təhlükəsizlik xüsusiyyətlərini, bulud WAF, sənəd kökü tənzimləməsini, ağ siyahıya daxil edilmiş IP ünvanları və daha çoxunu təmin edən ən yaxşı bulud hosting həllini istifadə etmək.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map