زمان کنونی: ۰۴ دى ۱۴۰۳, ۰۱:۰۳ ق.ظ مهمان گرامی به انجمن مانشت خوش آمدید. برای استفاده از تمامی امکانات انجمن می‌توانید عضو شوید.
گزینه‌های شما (ورودثبت نام)

۳ مورد خطرناک برای امنیت PHP در هاست اشتراکی

ارسال:
۱۲ شهریور ۱۳۹۳, ۰۸:۵۶ ق.ظ
۳ مورد خطرناک برای امنیت PHP در هاست اشتراکی
۳ مورد خطرناک برای امنیت PHP در هاست اشتراکی

اگر چه PHP یک زبان وب سایت همه کاره میباشد که اجازه ساخت و ساز سریع محتوای پویا وب سایت مانند سبدهای خرید و RSS را می دهد ولی وب سایت شما را هم می تواند در معرض خطر بگذارند خصوصا انهایی که از یک هاست مشترک برای هاستینگ وب سایت خود استفاده می کنند و استفاده از هاست اشتراکی خطرات زیادی برای امنیت PHP دارد. هکرها می دانند که چگونه می توانند از نقاط ضعف PHP مثل برگردانند داده های مشتریان و غیره بهره برداری کنند. بنابراین خود را آماده کنید برای فهمیدن خطرات امنیتی PHP و بروز رسانی کد های خود برای جلوگیری و به حداقل رساندن نفوذ هکرهای به وب سایت خود.
SQL Injection
یکی از شایع ترین خطرات امنیتی مربوط به PHP تزریق SQL و یا ( SQL Injection ) نامیده می شود. Sql injection یک تکنیک که یک هکر با تزریق کدهای مخرب sql در کوئری تعبیه شده در وب سایت می تواند به وب سایت شما آسیب برساند. به عنوان مثال ممکن است هکر SQL را در صفحه فورم شما درج کند در نتیجه همه معلوماتی که ممکن است یک کاربر در این فورم برای ارسال به شما درج کند با ارزش زمینه آن از طریق کیوری SQL به هکر ارسال خواهد شد.
به عنوان مثال فرض کنید وب سایت شما از کاربر آدرس ایمیل او را طلب کند تا شما بتوانید معلومات او را داشته و در صورت نیاز با او تماس بگیرید. با این حال کاربر بر فرض مثال یک هکر باشد و می خواهد همه اطلاعات مربوط به کاربران شما را بدست بیاورد بنابراین به جای تایپ کردن ایمیل خودش در فیلد فورم ‘y’ = ‘y’ را تایپ کند.
در اصل کیوری شما این گونه است
Select Email
From User-Table
Where Email.Address = EmailField_Value
می شود
Select Email
From User-Table
Where Email.Address = ‘y’ = ‘y’
کلاس ‘y’ = ‘y’ همیشه مقدار true را دارد. با این کار هکر به تمام آدرس ایمیل های کاربران شما دسترسی پیدا می کند.
حفظ و محافظت خود از تکنیک SQL Injection ساده میباشد. تنها با فراخوانی یک تابع که وظیفه آن چک کردن داده ها قبل از ارسال از طریق کیوری میباشد. برای اطلاعات بیشتر می توانید به Open Web Application Security Project مراجعه کنید.
۲ ) XSS Cross Site Scripting
معمولا به عنوان XSS Cross Site Scripting اشاره می شود. هنگامی که یک هکر logic خود را در HTML logic وب سایت شما درج می کند.
مثال بالا را در نظر بگیرید.هکر برای ارسال پیام در وب سایت ثبت نام می کند و سپس پست پیام خود را با Javascript routine فرمت می کند که باعث جریان پی در پی popups می شود تا بر روی صفحه نمایش کاربران یک فروم ظاهر شود. با این کار کاربران مجبور هستند یا بر popups کلیک کنند یا مرورگر خود را ببندند.
به طور معمول XSS از طریق لینک های مخرب اجرا می شود. حتی بدتر از آن cross-site scripting معمولا طبیعی به نظر می رسد و آن هم به این دلیل که به عنوان بخشی از قابلیت وب سایت به حساب می آید. نتیجه نهایی آن این است که شما کاربران بلقوه خود را از دست خواهید داد به این دلیل که آنها وب سایت شما را به عنوان یک تهدید خواهند دید.
مانند SQL Injection شما باید تمام کدهای کاربران خود را چک کنید و اطمینان حاصل کنید که هیچ کدام یک از آنها از کد های مخرب استفاده نکنند. برای کسب اطلاعات بیشتر می توانید در Microsoft چک و بررسی کنید.
۳ ) Register_Globals
تنظیمات پیکربندی PHP به عنوان Register_Globals شناخته می شود که به طور خودکار تمام متغیرات برنامه را در یک محیط جهانی جایگزینی می کند تا آن را برای توسعه دهندگان وب آسان و سرعت آن را در بازیابی برای کاربران دنیا بیشتر کنید.
مشکل این کار این است که سایت شما را ممکن است در معرض تهدیدات امنیتی جدی قرار دهد . به عنوان مثال یک هکر بالقوه می تواند با یک پارامتر $_GET یک کالا را به صورت رایگان با استفاده از سبد خرید فروشکاه وب سایت شما سفارش و خرید کند.
PHP معمولا با این تنظیمات خاموش می شود و برای اطمینان از آن فایل محلی PHP.ini ( local PHP.INI ) را چک کنید.

منبع

مهمان عزیز شما قادر به مشاهده پیوندهای انجمن مانشت نمی‌باشید. جهت مشاهده پیوندها ثبت نام کنید.

با حضرت شیطان سرمان گرم گناه است
ما بهر ملاقات خدا وقت نداریم
چون فرد مهمی شده نفس دغل ما
اندازه ی یک قبله دعا وقت نداریم
(مردم این جور نباشید)


عزم من بشکافد اقیانوس را
تنبلی دزد آرزوهاست...
۱
۰
یافتن تمامی ارسال‌های این کاربر
نقل قول این ارسال در یک پاسخ
 سپاس‌گزاری شده توسط: pouya47 , elham_sh219 , mehran1980


موضوع‌های مرتبط با این موضوع...
موضوع: نویسنده پاسخ: بازدید: آخرین ارسال
  راهنمایی در مورد تعریف محیط عملیاتی داروخانه برای آز پایگاه داده ngmsshd ۲ ۸,۰۸۲ ۰۴ اردیبهشت ۱۴۰۲ ۰۵:۲۹ ب.ظ
آخرین ارسال: Eris_mw
  هاست یا میزبانی وب چیست؛ انواع آن کدامند؟ B0020 ۰ ۸۰۹ ۰۹ فروردین ۱۴۰۲ ۰۲:۵۷ ب.ظ
آخرین ارسال: B0020
  مصاحبه با رتبه ۵۱ آی تی و تجارت و ۷۷ شبکه و امنیت Rehe1994 ۵ ۷,۰۶۶ ۲۰ آذر ۱۴۰۱ ۰۳:۵۵ ب.ظ
آخرین ارسال: arashi300
Smile مصاحبه با رتبه ۱۹ امنیت و شبکه pouya47 ۲۴ ۲۴,۵۱۳ ۰۷ آذر ۱۳۹۹ ۰۵:۵۲ ب.ظ
آخرین ارسال: saharitst
  مصاحبه دانشگاه اطلاعات و امنیت ملی Happiness.72 ۹۸ ۱۱۷,۸۹۰ ۰۵ آذر ۱۳۹۹ ۰۵:۰۵ ب.ظ
آخرین ارسال: Ali001100
  انتقال داده از ص a به ص b بدون php با js amirmtf ۰ ۲,۲۳۲ ۰۲ اردیبهشت ۱۳۹۹ ۱۲:۱۷ ب.ظ
آخرین ارسال: amirmtf
  در جستجوی اساتید امنیت wskf ۰ ۲,۱۴۳ ۱۸ فروردین ۱۳۹۹ ۰۸:۴۶ ب.ظ
آخرین ارسال: wskf
  راهنمایی در مورد محلی امن برای زندگی نزدیک چهارراه ولیعصر kadoos ۹ ۸,۰۷۷ ۱۴ اسفند ۱۳۹۸ ۱۱:۰۰ ب.ظ
آخرین ارسال: ehsan0000
  امنیت در تلگرام marvelous ۰ ۲,۲۱۱ ۲۷ دى ۱۳۹۸ ۰۲:۱۷ ق.ظ
آخرین ارسال: marvelous
  دانلود رایگان دوره آموزشی PHP & MySQL SamanehRashvand ۱ ۲,۸۶۰ ۲۶ مهر ۱۳۹۸ ۰۹:۲۹ ق.ظ
آخرین ارسال: alma1988

پرش به انجمن:

Can I see some ID?

به خاطر سپاری رمز Cancel

Feeling left out?


نگران نباش، فقط روی این لینک برای ثبت نام کلیک کن. رمزت رو فراموش کردی؟ اینجا به یادت میاریم! close

رمزت رو فراموش کردی؟

Feeling left out?


نگران نباش، فقط روی این لینک برای ثبت نام کلیک کن. close