Обеспечение безопасности веб-сайтов - Мои статьи - Каталог статей - Каталог сетей

Среда, 2024-05-01, 10:53 AM

Приветствую Вас Гость | RSS

Главная | Каталог статей | Регистрация | Вход

Пиринговые сети

Форма входа

Главное меню

Календарь

Друзья сайта

Программы
Блог KAD.DHT
Торренты eMule
Торрент трекер НТК
Компьютеры и сети
"25-й КАДР"

Рекламный блок

Статистика

анализ сайта

Онлайн всего: 1

Гостей: 1

Пользователей: 0

Главная » Статьи » Мои статьи

Обеспечение безопасности веб-сайтов

PHP является одним из наиболее распространенных серверных скриптовых языков. Он отличается обширнейшей базой функционального кода, простым синтаксисом, адаптируемым кодом и, что наиболее важно, возможностью взаимодействия с самыми разными базами данных. MySQL — это одна из наиболее популярных СУБД, используемых в сочетании с PHP; причина заключается в ее эффективности, богатой функциональности, а также простоте настройки и использования. Язык PHP зачастую критикуют за недостаточный уровень безопасности, поскольку со временем в нем было обнаружено множество потенциальных уязвимостей. Тем не менее, он стабильно развивается, а большинство уязвимостей можно компенсировать за счет надлежащей конфигурации или повышения уровня безопасности разрабатываемого кода. Вот несколько советов по настройке (разработка безопасного кода обсуждается ниже), касающихся переменных в файле «php.ini»: * Необходимо установить переменную register_globals в значение off. * Необходимо установить переменную safe_mode в значение on. * В переменной open_basedir следует указать базовый каталог веб-сайта. * Необходимо установить переменную display_errors в значение off. * Необходимо установить переменную log_errors в значение on. * Необходимо установить переменную allow_url_fopen в значение off. Дополнительные сведения, касающиеся этих настроек и причин, по которым они играют столь важную роль, можно найти в следующих источниках: [7,8,9]. При установке MySQL создается база данных «test», используемая по умолчанию, и открытая учетная запись «root» без пароля. Данной учетной записи автоматически предоставляется полный доступ ко всем прочим базам данных на сервере. В связи с этим необходимо проделать следующее: * Сразу изменить пароль учетной записи «root». * Создать новую учетную запись MySQL и предоставить ей минимально необходимые права. * Удалить базу данных «test» и соответствующих пользователей. Недавно вышел релиз php 5.3.0 Произошло немало изменений. Вот основные: Deprecated features in PHP 5.3.x PHP 5.3.0 introduces two new error levels: `E_DEPRECATED` and `E_USER_DEPRECATED`. The `E_DEPRECATED` error level is used to indicate that a function or feature has been deprecated. The `E_USER_DEPRECATED` level is intended for indicating deprecated features in user code, similarly to the `E_USER_ERROR` and `E_USER_WARNING` levels. The following is a list of deprecated INI directives. Use of any of these INI directives will cause an `E_DEPRECATED` error to be thrown at startup. define_syslog_variables register_globals register_long_arrays safe_mode magic_quotes_gpc magic_quotes_runtime magic_quotes_sybase Comments starting with '#' are now deprecated in .INI files. Deprecated functions: call_user_method() (use call_user_func() instead) call_user_method_array() (use call_user_func_array() instead) define_syslog_variables() dl() ereg() (use preg_match() instead) ereg_replace() (use preg_replace() instead) eregi() (use preg_match() with the 'i' modifier instead) eregi_replace() (use preg_replace() with the 'i' modifier instead) set_magic_quotes_runtime() and its alias, magic_quotes_runtime() session_register() (use the `$_SESSION` superglobal instead) session_unregister() (use the `$_SESSION` superglobal instead) session_is_registered() (use the `$_SESSION` superglobal instead) set_socket_blocking() (use stream_set_blocking() instead) split() (use preg_split() instead) spliti() (use preg_split() with the 'i' modifier instead) sql_regcase() mysql_db_query() (use mysql_select_db() and mysql_query() instead) mysql_escape_string() (use mysql_real_escape_string() instead) Passing locale category names as strings is now deprecated. Use the LC_* family of constants instead. The `is_dst` parameter to mktime(). Use the new timezone handling functions instead. Deprecated features: Assigning the return value of new by reference is now deprecated. Call-time pass-by-reference is now deprecated. The use of {} to access string offsets is deprecated. Use [] instead. Источник: http://ru.php.net/migration53.deprecated
1 2 3 4 5 Категория: Мои статьи \| Добавил: netnsk7072 (2009-09-24) \| Автор: netnsk W
Просмотров: 1493 \| Теги: PHP, безопасность, Новое \| Рейтинг: 0.0/0

Всего комментариев: 0

Copyright www.netnsk.ru © 2024

Сделать бесплатный сайт с uCoz