Site beveiligen

Hallo allemaal,

Ik had een vraag, waar je je site allemaal op moet beveiligen, omdat ik niet wil dat als de beta fase van mijn site online gaat dat die gelijk door die allah mensjes worden gehacked. En omdat ik zag dat Tim zijn signchat zelfs de ip's van members stripslashde.

Nu is mijn vraag, wat is nou echt nodig om je site te beveiligen, en wat niet.

(De standaard dingen zoals de url en de berichten en teksboxen heb ik al wel beveiligt.)

Met vriendelijke groet,

Thomas

htmlentities($result['dinges'], ENT_QUOTES); bij outputten,

bij inputten addslashes() of mysql_real_escape_string(), dus ook bij $_GET's en $_COOKIE's wat vaak vergeten word daarbij,

Bij avatar's uploaden niet alleen exploden vanaf de . en dan kijken naar de extensie, maar ook het mime type bekijken of dat niet een verkeerd mime type is(ofja doe ik altijd nog extra voor de veiligheid tenminste)

Okeey ik doe altijd dit over de berichten cookies en get en post dingen:

<?
function safe($input)
{
$input = mysql_real_escape_string(htmlspecialchars($input));

return $input;
}
?>

En bij de gebruikers berichten deed ik geen htmlspecial chars, omdat dan alles kapot ging (ubb enz.)

Gnene, had toch wel htmlspecialchars

Let ook op dat je javascript blokkeert!

Ach, lees het zelf maar
[url]http://www.wmcity.nl/forum_topic.php?id=500725[/url]

Uiteraard hebben we nog de Webprogrammer's Hacking Guide, die zeker een kijkje waard is!

Velen functies die je noemt zijn pas vanaf PHP5 beschikbaar en hoewel veel hosters achterlopen op PHP gebied geef ik het weinig kans.

Je kunt daarnaast het beste met Array_Map werken, over de $_POST's e.d. heen en je bent in één klap klaar.

Belangrijkste regel:
Vertrouw nóóit de input van andere mensen.

Maar kunnen ze via hun eigen ip ook een sql injection of iets in die richting uitvoeren?

Gabber4life schreef:

[...]
was de Input? de hint's die badeendje en die andere geven?

nee, dat kan niet, en de uitgevers van ip's lijken me ook weer niet zo stom, en vanaf ip v6 zal dat ook wel zo blijven dat er geen rare ip's worden gecreerd.

Maar bijv. referers moet je wel door een addslashje/mysql_real_escape_string halen

Een IP wordt rechtstreeks uit je zoneds gefilterd, of bij proxys uit de proxy instellingen. Zijn deze gegevens fout kom je niet eens op de website dus is het injecten ook niet mogelijk.

nope, want dan kan er ook geen sql injection worden uitgevoerd als er geen db aan te pas komt dan.

Oke, ik denk dat ik voorlopig genoeg weet Ben al bezig met de querys aantepassen met limit 1 en niet de * gebruiken, maar gewoon op te geven wat eruit gehaalt moet worden. Dit zodat de snelheid ook weer omhoog komt.

Zo beveilig altijd. Dan weet je zeker dat je nergens addslashes mist.

if (get_magic_quotes_runtime() == 0 ) 
{ 
    $_GET = array_map('addslashes',$_GET);
    $_POST = array_map('addslashes',$_POST);
}

[ Binnenkort PHP 6 ]

Je moet ook logische datatypes voor in je database kiezen, dus geen datum als timestamp in een varchar(255) opslaan enzo.