نظرتون در مورد امنیت cms که نوشتم چیه؟
سلام دوستان .
آدرس سایت : ghughnos.com
*****
+ طی مدتی یک cms ساده با هدف مدیریت محتوای سایت های پرتالی طراحی کردم . ( این cms اولین cms من هست )
+ بر روی طراحی ui صفحات داخلی سایت زیاد کار نکردم و فقط برام الان امنیت و کارکرد cms مهمه .
+ برای امنیت بخش مدیریت , با htaccess دسترسی به پوشه های مهم رو ( مخصوصا class ها ) بستم . و همچنین از طریق cpanel بر رویه پوشه admin که اطلاعات بخش مدیریت توشه password گذاشتم .
+ این cms رو با oop و روش اتصال pdo نوشتم . و از هیچ فریم ورکی استفاده نکردم .
-------------------------------
از دوستانی که در نوشتن cms تجره کاری دارند میخوام نظرشون در مورد cms بنده در مورد ( امنیت cms ) + ( سرعت cms - هاست معمولی المان داره ) + ( روش بهینه سازی url های cms که خودم دستی و با استفاده از htaccess ردیفش کردم ) و هرچیزی که فکر میکنید رعایت نکردم بگن . ( بیشتر برام امنیتش مهمه که یه هو هکش نکنن :) )
از تمامی دوستان ممنونم
پاسخ : نظرتون در مورد امنیت cms که نوشتم چیه؟
قشنگه
csrf رو در فرمهاتون رعایت نکردید که پیشنهاد میکنم رعایت کنید
انشاالله پروژه بعدی رو با فریم ورک مناسبی بزنید
در کل کارتون خوبه
موفق باشید
پاسخ : نظرتون در مورد امنیت cms که نوشتم چیه؟
سلام
اول به نظر من در پوشه public_html یه فایل htaccess. بسازید و دستور Options -Indexes رو بذارید تا فایل هاتون در آدرس هایی مثل http://ghughnos.com/template/style/ نمایش داده نشه.
در سورس صفحه اصلی سایت تگ های بسته شده </section> و </main> هست اما اصلاً چنین تگ هایی در صفحه اصلی باز نمیشن که بخوان بسته بشن.
فایل template/style/style.js اصلاً قراره چه کاری انجام بده؟ آخه ظاهراً که خالی و بلااستفاده الکی لود میشه.
بهتره در هر بار نمایش اخظار در فرم تماس با ما محتویات مقدار های داخل متد POST رو دوباره در فیلد ها چاپ کنید تا کاربر به خاطر یه بار اشتباه زدن کد امنیتی مجبور نباشه کل پیامش رو دوباره بنویسه.
پاسخ : نظرتون در مورد امنیت cms که نوشتم چیه؟
نقل قول:
نوشته اصلی توسط
iHSG
سلام
اول به نظر من در پوشه public_html یه فایل htaccess. بسازید و دستور Options -Indexes رو بذارید تا فایل هاتون در آدرس هایی مثل
http://ghughnos.com/template/style/ نمایش داده نشه.
در سورس صفحه اصلی سایت تگ های بسته شده </section> و </main> هست اما اصلاً چنین تگ هایی در صفحه اصلی باز نمیشن که بخوان بسته بشن.
فایل template/style/style.js اصلاً قراره چه کاری انجام بده؟ آخه ظاهراً که خالی و بلااستفاده الکی لود میشه.
بهتره در هر بار نمایش اخظار در فرم تماس با ما محتویات مقدار های داخل متد POST رو دوباره در فیلد ها چاپ کنید تا کاربر به خاطر یه بار اشتباه زدن کد امنیتی مجبور نباشه کل پیامش رو دوباره بنویسه.
اره به اینا توجه نکردم . باید اینا رو هم تو قالب بعدی ذکر کنم .
پاسخ : نظرتون در مورد امنیت cms که نوشتم چیه؟
کپتچای شما مشکل داره
با یک PHPSESSID ثابت و کپتچایی که یکبار حل شده ، میشود 10000 بار یک فرم را post کرد ...
پاسخ : نظرتون در مورد امنیت cms که نوشتم چیه؟
نقل قول:
نوشته اصلی توسط
us12
کپتچای شما مشکل داره
با یک PHPSESSID ثابت و کپتچایی که یکبار حل شده ، میشود 10000 بار یک فرم را post کرد ...
کپچای معتبر و بهرتی میشناسید؟ ممنون میشم لینکی مقاله ای هم بدید
پاسخ : نظرتون در مورد امنیت cms که نوشتم چیه؟
نقل قول:
نوشته اصلی توسط
<?php?>
کپچای معتبر و بهرتی میشناسید؟ ممنون میشم لینکی مقاله ای هم بدید
بعد از اینکه کپتچا از طرف کاربر ارسال شد و صحیح بود ، مقداری که داخل $_SESSION گذاشتی را تغییر بده ، به صورت رندوم که قابل شناسایی هم نباشه
مثلا :
کد:
$_SESSION['chaptcha'] = rand();
پاسخ : نظرتون در مورد امنیت cms که نوشتم چیه؟
نقل قول:
نوشته اصلی توسط
us12
بعد از اینکه کپتچا از طرف کاربر ارسال شد و صحیح بود ، مقداری که داخل $_SESSION گذاشتی را تغییر بده ، به صورت رندوم که قابل شناسایی هم نباشه
مثلا :
کد:
$_SESSION['chaptcha'] = rand();
بعد اینکه کارر ارسال کرد و صحیح بود و به جای تغییرش بیام از بین ببرم سشن رو چطور؟
پاسخ : نظرتون در مورد امنیت cms که نوشتم چیه؟
کد:
$_SESSION['chaptcha'] = NULL;
unset($_SESSION['chaptcha']);
