網站安全問題

Question

我正在創建一個使用perl腳本，PHP，MySQL數據庫和HTML的網站。我主要關心的是確保沒有人可以訪問任何可以訪問我的信息的內容。我的意思是有無論如何有人得到我的Perl腳本，看到我的數據庫信息。我知道關於sql注入，但我沒有任何可以輸入信息的表單。有什麼我應該記住這個東西。

Answer 1

有反正有人讓我的perl腳本，看到我的數據庫信息

當Web服務器不解析這隻會發生/程序腳本，並將它作爲明文。通常這種解析/處理只發生在特定的文件擴展名上，例如perl文件爲.pl，PHP文件爲.php。如果您（或黑客）將其重命名爲.txt，則客戶端將能夠以明文形式獲取整個腳本。儘管如此，如果黑客能夠重命名它，它仍然可以訪問整個腳本。這將通過FTP或CMS中的安全漏洞完成。

此外，我已經看到了基於路徑作爲參數從webapp上下文（外部）讀取文件（通常是圖像或其他靜態文件）的腳本。例如。download.php?filename.ext如果這樣的腳本沒有對文件路徑進行任何健全性檢查，智能黑客可以通過download.php?%2Fserver%2Fhtdocs%2Fscript.php以明文的形式獲取腳本。

Answer 2

這個問題的廣度有點令人難以置信，但這是一個很好的問題，而且絕對重要。

您將對服務器產生的許多問題可能與服務器訪問本身有關，請確保您不使用任何不需要的軟件。如果您不需要名稱服務器，請關閉綁定;如果可以的話，同樣適用於ftp，甚至sendmail。如果可能，請使用強密碼和備用端口。

對於PHP，請參閱http://us3.php.net/manual/en/security.php和http://php-ids.org/;絕對使用mysql_real_escape_string（）和htmlentities（）。

對於HTML/PHP/JS，見http://en.wikipedia.org/wiki/Cross-site_scripting

有很多思考。我建議試着找一個導師來幫助你弄清楚什麼是重要的。我現在正在指導一個人，即使我不完美，他也能幫助他。 SO可以提供幫助，但是一個你信任的人可以看看你如何做事可以提出建議，除非你發佈完整的代碼庫，否則你不會到達這裏。

Answer 3

Web應用程序安全性是一個很大的話題。然而，你知道SQL注入中最大的漏洞之一，所以這是一個好的開始。

一對夫婦的其他大的有跨站腳本（XSS）和跨站請求僞造（CSRF - 「看-衝浪」）

XSS - http://en.wikipedia.org/wiki/Cross-site_scripting
CSRF - http://en.wikipedia.org/wiki/Csrf

像往常一樣，維基百科提供一個很好的介紹。

您可能還需要在看向通過使用HMAC
http://en.wikipedia.org/wiki/HMAC

Answer 4

真正去閱讀本community wiki覈實請求的真實性。它充滿了信息。或者只是在這裏搜索stackoverflow有很多問題。

Answer 5

1. 使用SQL的佔位符，即使PHP支持它。

2. 退出您的輸出。您的模板系統可能對此有所幫助。

3. 使用cgi-bin目錄。它確實有助於保護意外泄漏。在沒有cgi-bin的情況下製作網址很容易。

4. 在Perl中使用污染模式，在PHP中使用強化PHP。

Answer 6

永遠不要相信任何用戶輸入任何形式..自從:)

難的是找出所有的方式，用戶可以提供輸入到您的網站..