راههاي مقابله با نفوذ به سايت و مقابله با آن

[teztop]

سلام دوستان
براي قسمت مديريت سايت چه اقداماتي بايد انجام بشه كه هركسي نتونه به قسمت ادمين سايت نفوذ كنه ؟
استفاده از نشست امنييت داره يا نداره ؟
اگه نداره بايد چيكار كرد ؟

[teztop]

[Rezash]

سلام دوستان
براي قسمت مديريت سايت چه اقداماتي بايد انجام بشه كه هركسي نتونه به قسمت ادمين سايت نفوذ كنه ؟
استفاده از نشست امنييت داره يا نداره ؟
اگه نداره بايد چيكار كرد ؟

بحث امنيت بحث ساده اي نيست كه بشه براحتي و در چند جمله اونو بيان كرد.
مهمترين چيز براي برقراري امنيت تسلط در برنامه نويسي هست (نظر شخصي !) اينكه برنامه نويس به همه زوايا و موارد برنامش تسلط كامل داشته باشه.
براي بخش ادمين ميتونيد در راهكار خيلي ساده ولي موثر از با htaccess روش پسورد بذاريد.
بايد باگ هاي sql injection رو شديدا پيگير باشيد و رفع كنيد.
موارد بسيار زيادي هست.

[teztop]

براي بخش ادمين ميتونيد در راهكار خيلي ساده ولي موثر از با htaccess روش پسورد بذاريد.

می شه در این باره یه توضیحاتی بدین ؟ ممنون

[aghaee]

من هم در پی یادگیری امن سازی php هستم

مثل sql injection
hash 5
session
cooki

و...


ممنون میشم یه بحث مفصل و یه آموزش اساسی داده بشه

(حاضر به پرداخت هزینه هستم)

با تشکر

[Rezash]

می شه در این باره یه توضیحاتی بدین ؟ ممنون

خيلي راحت در سي پنل از بخش password protected directories اگر استفاده كنيد كد htaccess رو خودش توليد ميكنه.و اگر سي پنل نداريد بگيد كدش رو بذارم.

---------- Post added at 01:20 PM ---------- Previous post was at 01:18 PM ----------

من هم در پی یادگیری امن سازی php هستم

مثل sql injection
hash 5
session
cooki

و...


ممنون میشم یه بحث مفصل و یه آموزش اساسی داده بشه

(حاضر به پرداخت هزینه هستم)

با تشکر

در مورد sql injection مقدماتي رو در انجمن گذاشتم و تاپيك هاي ديگه هم هست.
بهتره پسورد ها با الگوريتم هاي غير قابل برگشت هش بشند ، مثلا تركيب md5 و sha1
در مورد كوكي ها بهتر هست از نگه داري يوزرنيم و پسورد در كوكي و اطلاعات حساس خودداري بشه و اطلاعات كوكي ها قبل از استفاده در برنامه حتما verify بشه
در مورد سشن ها هم تقريبل همينطور
البته خيلي خلاصه گفتم و هر كدوم از اينها بحث ها و چالش هاي خاص خودش رو داره.

[aghaee]

ممنون از پاسختون، من میخوام روی همه موارد امنیت php کار کنم، هزینه هم هر چقدر شد حاضرم پرداخت کنم

اگر مقدور هست یه تاپیک اختصاصی در سایت خودتان برای ما ایجاد کنید که فقط ما بهش دسترسی داشته باشیم، یه مبلغی رو واریز کنیم و شما بهمون قدم به قدم آموزش بدین

[MizbanSite.ir]

اول هاست امن
دوم دسترسی فایل کانفیگو کم کن
سوم از اسکریپت های نا امن استفاده نکن
در مورد کوکی هم من سالهاست یوزر و پسمو تو کامپیوتر سیو میکنم ونگه میدارم
با نصب کسپر اسکای و فایرفاکس مشکلی نداره

[aghaee]

اول هاست امن
دوم دسترسی فایل کانفیگو کم کن
سوم از اسکریپت های نا امن استفاده نکن
در مورد کوکی هم من سالهاست یوزر و پسمو تو کامپیوتر سیو میکنم ونگه میدارم
با نصب کسپر اسکای و فایرفاکس مشکلی نداره

دوست عزیز منطور ما از نظر برنامه نویسی php بود! کد نویسی کد نویسی کد نویسی کد نویسی

[teztop]

خيلي راحت در سي پنل از بخش password protected directories اگر استفاده كنيد كد htaccess رو خودش توليد ميكنه.و اگر سي پنل نداريد بگيد كدش رو بذارم.

من از دايركت ادمين استفاده مي كنم.
مي شه كدش رو بذارين و يه توضيح مختصر بدين ؟

---------- Post added at 09:02 AM ---------- Previous post was at 08:52 AM ----------

من براي قسمت ادمين سايت يعني ورود كاربر از session استفاده مي كنم.
به اين ترتيب كه وقتي كاربر نام كاربري و رمز عبور را وارد مي كنه از ديتابيس فراخواني مي شه و اگه نام كاربري و رمز عبور مطابقت داشت يك نشست ايجاد مي شه با مثلا

کد PHP:

session['valid_user'] = 'true'; 


و بعد وقتي صفحه لود مي شه اگه مقدار true باشه كه صفحه كاربر بازه و در غير اين صورت فرم ورود به صفحه نمايش داده مي شه. براي كد كردن رمز هم تو ديتا بيس هم از sha1 هم Md5 استفاده مي كنم
استفاده از اين روش درسته ؟