Официальный сайт многопользовательской новостной CMS для организации СМИ. Лучшее SEO (Search Engine Optimization для поисковых систем. Удобная навигация по сайту. Клиент может иметь несколько адресов доставки в своей адресной книге. Сменить его можно в файле: admin/passw.php Официальный сайт Скачать. Linklist - удобный PHP скрипт, который позволяет Вам создать список ссылок, использующих MySQL базу данных. Автор: WFSearch.PRO (PHP4, MySQL). Поисковый движок для сайтов среднего и большого объема. Название: PHP Mailer v 0.1. Описание: Простенький мейлер (скрипт для отправки писем прямо с сайта), написанный на PHP. Удобный, простой и быстрый скрипт, не использует БД. LPF — простой PHP -фреймворк для создания одиночных Проблема тут только в том, что работать с «голым» HTML не очень удобно, ну и страшно не Причем их можно подключать как на уровне всего сайта (то есть для. Смог запустить только вписав в engine. Проверяем PHP движок на прочность / Хабрахабр. Всем привет, недавно задался идеей написать PHP движок для своих нужд, так сказать и уровень повысить и получить что- то полезное. Почти сразу задался вопросом, а на сколько легко можно будет его взломать? Не секрет, что взломать можно все, что угодно, но вопрос в том, на сколько это будет проблематично и каждый ли хакер сможет это сделать? Формы. Пожалуй, самая частая уязвимость в каком- либо проекте, будь то форма для комментариев, или форма логина. Без хороших проверок, эта штука ничего не стоит. Формы отправки файлов. Я пришел к такому выводу: Можно защитить свой движок только в том случае, если у тебя нет ни одной формы для загрузки файлов, либо они есть и достаточно хорошо проверяются. Я считаю первое, это самое надежное, но если без них никуда, то тут есть несколько рекомендаций. Одной проверки никогда не бывает достаточно! Узнайте о содержимом все. Первой моей мыслью было: «Что за х?». Порывшись еще немного я понял, что эту форму обрабатывает JS скрипт. Благо, это была админка и не каждый мог туда попасть. Часто, при выводе картинки делают проверку, только по одной стороне, по ширине или высоте, а теперь представьте, что какой- то умник залил картинку 2. Хранение паролей. Хоть это и удобная вещь, которая в дальнейшем избавит вас от рысканья в вашей почте или записях и поиска пароля, но посмотрим, что можно сделать если этот компьютер попадает в руки к вашему «другу». SQL Injection (SQL инъекции)Для тех, кто в танке — это внедрение SQL кода простого юзера, через адресную строку или через те же формы. Есть одно правило: . Самый просто способ, как от этого избавиться, это использовать — mysql. Скачать бесплатно движок сайта на PHP и HTML, пример создания сайта на . На DataLife Engine, я правда с этой CMS не работал. Всем привет, недавно задался идеей написать PHP движок для своих нужд Хоть это и удобная вещь, которая в дальнейшем избавит вас от рысканья на шаг приближает его к раскрытию всех тайн back-end части сайта. Движок — удобная CMS (система разработки сайтов) и CRM 2006 году как CMS, которая должна была прийти на замену популярной тогда PHP -Nuke. Бесплатный скрипт интернет-магазина на основе фреймворка AiKi Engine. Используйте их для создания своих веб-приложений. Вариантов не так много, так что найти нужный можно, но если вы будете использовать админку с генерированными символами, то можете не беспокоиться (пример: 7. NVm. E1. 0Sa. J. php), кому- то это может показаться паранойей, но я считаю безопасности никогда не бывает много, если пользователь попал на страницу ввода логина и пароля администратора, это на шаг приближает его к раскрытию всех тайн back- end части сайта. Пароли. Во избежание пропадания каких- либо учетных записей, не давайте пользователям самим создавать пароли, но если даете, то старайтесь заставить его сделать пароль как можно сложнее. С недавних времен я начал использовать такую связку для создания пароля md. Если кто- то выкрадет у нас базу данных, без секретного ключа он не получит пароля, даже если получит и базу и движок, то толку от этого без пароля ему тоже не будет, только использовать терабайтные радужные таблицы. Тут все так же как и с админкой, нельзя давать возможность попасть в phpmyadmin введя, просто адрес/. Ну и естественно использовать логины root. Первое, что нужно помнить, не храните ID сессии в открытом виде, а еще лучше, храните его в БД, и не давайте нескольким пользователям сидеть под одной сессией, проверяйте все, ip, user. Так же советую посмотреть в сторону антиспуфинга, чтобы, хакер не смог подделать ip. Печеньки(Cookie). Для успеха осталось сделать мегакрасивый сайт на нескольких языках.Куки нужны для хранение данных браузером, зачастую многие хранят в куках id сессии, чего делать не рекомендую, особенно в открытом виде. Если что- то храните в куках, то шифруйте, а тем более проверяйте, потому что тут как и с формами, нельзя доверять тому что пришло, так как изменить тоже не проблема. Кстати говоря тут вам снова может помочь соль, которую использовали для пароля пользователя. Архитектура. Нужно грамотно продумать архитектуру вашего проекта, если вы будете делать весь проект костылями, да велосипедами, ни к чему хорошему это не приведет, только к дырам. Старайтесь использовать MVC, это поможет разграничить ваш код, на логические составляющие. Операционные системы. Ясное дело, что это должен быть линукс. На счет защищенности не знаю, но если у человека руки растут откуда надо, то настроить можно любой сервер. API в это число не входят, но используйте их так же на свой страх и риск. Сессии, куки и SQL запросы. Следите за ними! Выбор ОСПоступающий трафик. Все эти советы не избавят вас от угрозы взлома, но помогут её очень сильно усложнить, так что теперь не любой хацкер сможет её взломать. Так же помните, что валидация данных через javascript, это только пол дела, так как его можно спокойно отключить, проверяйте дважды все данные, ведь из всего вашего кода лишь 1. PS. Про виндос я сказал, что не знаю точно. Просто все что читал, про неё плохо отзываются, так что извините, если кого обидел. Эти советы для новичков, ни про какие ПДО и ОРМ им рассказывать нету смысла. Я знаю, что эта информация известна многим, но статьи где будет изложено хотя бы столько информации я не нашел. Никого удивить я не собирался, хотел, чтобы люди, которые мало в этом разбираются.
0 Comments
Leave a Reply. |
AuthorWrite something about yourself. No need to be fancy, just an overview. Archives
December 2016
Categories |