Как обезопасить свой сайт! (примеры : How To?)

народ пожалуйста помогите разобратся c.... SQL Injection......реално сел тут!

---------- Сообщение добавлено в 22:10 ---------- Предыдущее сообщение было в 22:05 ----------

Нашeл интересную весчь, читаем может кто уже знал....
[SPOILER="Google&webmaster"]Google будет показывать администраторам обнаруженные образцы “нехорошего” кода в разделе Google’s Webmaster Tool, где и будет собираться вся информация о ресурсе.

Как только автоматические сканеры Google найдут на вашем сайте вредоносное содержание, веб-мастеру отправляется е-mail с уведомлением. Также зараженные страницы будут отмечать специальным предостерегающим значком. Помечать будут все сайты с вредоносным кодом, а также ресурсы, на которые совершались хакерские атаки.

Чаще всего хакеры взламывают веб-страницы с целью получить доступ к управлению содержимым. Так на ресурсе появляется вредоносный код, а администратор может и не знать об этом. С помощью нового сервиса Google владельцу сайта станут доступны зараженные страницы, а также появится возможность их удаления. В определенных случаях Webmaster Tool будет указывать причину заражения. Как только сайт очистят от вредоносного кода, необходимо сообщить об этом в Google, чтобы на странице с результатами поиска исчезло предупреждение :exclaim::exclaim::exclaim:[/SPOILER]

---------- Сообщение добавлено 16.12.2010 в 11:49 ---------- Предыдущее сообщение было 15.12.2010 в 22:10 ----------

Ок .... .... Продолжим наш кошмар бедного BЕБМАСТЕРА... ... ...
SQL Injections Part2

1.Методы защиты от SQL инъекций
Связано это с тем, что кроме обычных уязвимостей, при работе в связке PHP + MySQL дополнительно существует дополнительный вид уязвимостей, который именуется MySQL-injections (MySQL-инъекции).

Также Вы должны знать, что использование MySQL имеет свои минусы. Сложные сайты на MySQL сильно нагружают сервера, существуют некоторые сложности с бэкапом сайта (на файлах всё несколько проще), и большая (нежели на файлах) вероятность взлома.

Суть этих уязвимостей заключается в том, что хакер может внедрить в SQL-запрос свой код. С помощью такого метода, например, можно получить пароли пользователей, можно получить пароль доступа к админке (и тогда сайт будет полностью под контролем хакера), или (так иногда поступают некоторые хакеры) получить базу e-mail адресов пользователей с целью продажи её спамерам. ......
Шаг №1. Скрываем “истинное лицо” страницы.

Для этого мы будем использовать mod_rewrite. Вот как это будет выглядеть: вместо ссылок вида index.php?id=1, например, мы будем использовать ссылки вида 1.html. Кроме защиты это придаст также более эстетический вид ссылок, а вдобавок и более качественную индексацию сайта поисковыми системами.

Вот как это делается: создаём файл .htaccess в той директории, где хранится скрипт (если файл уже существует, то редактируем его, вписав новые строчки).

RewriteEngine on
Options +FollowSymlinks
RewriteBase /
RewriteRule ^.htaccess$ - [F]
RewriteRule ^([0-9]*).html index.php?id=$1


Как это защитит от MySQL-инъекций? Если хакер введёт http://сайт.ru/1?.html, то mod_rewrite просто не пропустит этот запрос (так как строка 1? не удовлетворяет условию перенаправления: то, что стоит перед .html должно быть последовательностью цифр).
Шаг №2. Фильтруем данные, полученные от пользователя.

Любой пользователь без проблем может быть хакером, так что не советую Вам доверять данным, полученным от пользователя.

Добавить надо вот что: как бы не были профильтрованы данные, опасность всё-равно остаётся. Поэтому кроме “обычной” фильтрации данных, экранируем все опасные символы с помощью специальной функции: mysql_real_escape_string.

$data = mysql_real_escape_string ($data, $connect);

Где $data - переменная, хранящая какие-то данные, полученные от пользователя (данную операцию нужно проделать со ВСЕМИ переменными, используемыми в SQL-запросах!), а $connect - подключение к базе MySQL (задаваемое функцией mysql_connect). Если Вы используете MySQLi, то для него есть аналогичная функция mysqli_escape_string.

Ах да, чуть не забыл! Для того, чтобы эта защита работала, любые данные, передаваемые в SQL-запросе надо защищать одинарными кавычками:

mysql_query (”SELECT * FROM table WHERE id = ‘$id’”)

вместо

mysql_query (”SELECT * FROM table WHERE id = $id”)

Вот так в два шага можно частично обезопасить себя от взлома хакерами Вашего сайта.

Спасибо огромное за тему, очень полезная инфа.
А есть возможность узнать какие плагины у SE наиболее уязвимы и их поправить?

Не то, чтобы я вредный и придирчивый, но -
1. Если вы этого не знали и не приняли элементарные меры предосторожности либо не наняли знающего человека - ваш проект не имеет плана и он вероятно не будет иметь успех.
2. 99% приведенной здесь информации ни в коем случае не предотвратят ваш проект от взлома, если ломать его будут не дети.
3. Никогда не понимал защиту от хотлинков и уж тем более "защиту" от правого клика. Первое обходится если вкурить curl, второе обходится за пару секунд (даже меньше, короче - за два клика)
Хотите защитить свой проект, но не знаете как? Первое, что вы должны спросить себя - а нужно ли кому-нибудь вас взламывать? И если ответ положительный - лучше заплатите за работу людям, которые знают что они делают. Или учитесь сам. За пару лет (не меньше) - научитесь. А до тех пор вы будете защищены только потому что ваш проект возможно никто не хочет взламывать, и вы только зря теряете время, при этом становясь 100500-ым вебмастером наступающим на одни и те же грабли. Не очень верю, но надеюсь хоть кого-то вразумил.

Кому платить то?

Stardoze, вы абсолютно верно всё сказали. Спасибо.
Но я спрашивала не на уровне того, что нужно делать проектам более известным и конкурентоспособным, а чисто для тех действий, который начинающий веб мастер может сделать самостоятельно, как вы сказали, хотя бы защитить проект от детей...Лично мне интересны все уроки в этой теме и я не пренебрегу непременно защитить СИ пускай хотя бы на таком низком уровне. Спасибо.

pogi, наверное тем, кто пишет на заказ расширения, им наверное известно, как залатать все дыры А вот кому конкретно, мне тоже интересно бы узнать...

Я такого не говорил, извольте ткнуть носом в такие мои слова? =)

Здесь не раздел начинающих говнокодеров, которые пишут свои скрипты с нуля, а раздел посвященный вполне самостоятельному продукту, который изначально подразумевает как минимум базовую защиту. И если в нем даже такого нет (имеется ввиду защита папок от посторонних вмешательств и глаз, а так же фильтрация данных в коде) - то разговор дальше о какой-либо защите бесполезен. Остальное, типа "дополнительной авторизации", хотлинков (те кто сидит через прокси после такой "защиты" просто плюнут и уйдут в другое место), и прочего - это вообще для чего? Защиты, в прямом понимании этого слова, с этих манипуляций 0 (ноль!). Впрочем ладно, как я смотрю сейчас многим нужно что-то делать, причем неважно что, и совершенно неважно понимать зачем. Хотите заниматься...ммм...ну вы поняли чем - на здоровье.

К программистам нужно обращаться. К хорошим. Как правило в процесс укрепления защиты входит и оптимизация, и заточка под конкретный проект, и если необходимо - рефакторинг. Стоимость таких услуг в пару раз превышает стоимость самого проекта на первых этапах со всеми его лицензиями. А 80% разработчиков расширений (да и чего уж - самого продукта) можно пожелать только учебники, совесть, и обязательно какой-нибудь стресс за каждый бездарный продукт. Клизму с напалмом, например. Поэтому на реальную помощь с их стороны рассчитывать думаю нет смысла. =)

Странная ссылка на книгу о защите.

Stardoze, так и я не говорю, что Вы говорили
Просто 1 пункт и даже вопрос "а нужно ли кому-нибудь вас взламывать" лично мне понимается так, что только серьёзный проект будет задумывать о серьёзной защите. Так как проект на начальной стадии никто ломать не будет, а если кто и будет, то знакомые завистники админа, но от них и этих уроков надеюсь, что хватит.. Просто ясное дело, что ломать сайт стоит деньги, защищать стоит ещё больше.. Так что думать, что сайт начнут ломать без явных на то причин, глупо.. Вот ВК в первый год досили, так там понятно почему.. А чтоб создать аналогичную махину на SE и думать о ддос, то тогда и разговор должен быть совсем другой и не здесь в теме с уроками для защиты от школаты, которыми движет подлость и зависть..

"Впрочем ладно, как я смотрю сейчас многим нужно что-то делать," не знаю за всех, но я например хотела бы обезопасить контент от копирования правой кнопки мышки.. Хотя я знаю, что это знающий человек в лёгкую обойдёт (сама не раз копировала в обход), но не все же это умеют... На это и расчёт. Да и другие здесь советы кому то очень необходимы, и хорошо, что есть люди, которые учат и помогают.

Думаю, что эта тема для уроков, а не для дискуссий.. Наверное стоит всё таки создать раздел с уроками и темой для обсуждения.

Так, всё, завязали холиварить. =) Основная мысль была высказана. Кто понял - хорошо, кто не понял - тоже хорошо. Меньше вопросов будет.