Hva er typisk sikkerhetshull i PHP ?

spikre

peterhamre.no
Jeg jobber med en artikkel vedr. sikkerhetshull og -farer ved bruk av sensitiv informasjon på internett.
- Noen som har noen faktorer som kan være relevante (sikkerhet)?
- Hva er de typiske programmeringsfeilene (helst php) som gjøres på dagens nettsider, som skaper utrygg bruk osv?
- Jeg har også en del vedr. all bruken av open source, men har egentlig nok info og poenger her. Om du har noe spesielt å bidra med, er jeg interessert!

På forhånd takk for alle tips!
 

clinton4

Medlem
Den største og mest vanlige feilen er å ikke validere data som brukes i spørringer, og som kommer direkte fra en besøkende/bruker. Denne gjelder for det meste for nybegynnere. En erfaren programmerer bruker ikke brukerdata i en spørring.
 

Sjefskoder

Sjefskoder
Hallojs!

Når det gjelder dette med sikkerhet er den en zilliard saker du kan gjøre..

Som nevnt er validering alfa & omega..
En huskeregel er å sjekke alt som sjekkes kan + stille krav til disse + kryptering av sensitive data..

* Sjekk alt fra lengde på telefonnummer til e-postadresse..
* Sjekk om noe av det brukeren prøver å registrere allerede er registrert (e-post, telefonnummer, adresse.. osv, osv)..
* Krypter, krypter, krypter data før lagring..

+ Tillat kun e-postadresse som brukernavn (siden dette så godt som aldri glemmes :p )..
+ IKKE la brukeren velge sitt eget passord, dette skal genereres automatisk..

Er mye du kan og mye du burde tenke på når det kommer til sikkerhet og bruker-tilgang..

Ta f.eks dette med innlogging til ett system ::

Brukernavn = e-postaddresse !
Passord = SMS-kode !

1 :Når personen skriver inn sin e-postaddresse så krypterer du denne og sjekker om epostadressen er registrert (ja, den skal være kryptert i DB'n ) og er den det, så genereres en kode som du krypterer og lagrer i db'n. også sender du personen videre til f.eks : SmsCodeValidation.php med et felt for passord..

2: Send den samme kode ukryptert pr. sms til brukerens registrerte mobilnummer, som han må skrive inn i ett kode-felt..

3: Når denne koden skrives inn krypterer du denne før du sjekker den mot den lagrede (krypterte) koden i db'n.


.............

Dette er èn måte å gjøre innlogging litt sikrere..

Finnes mange måter å gjøre det på og dette var èn ;)

/S
 

Nutz

Med lem
Kreve at bruker oppgir telefonnummer for registrering er en måte å gå glipp av medlemmer.
Kommer selvfølgelig an på hvilken type nettside man har.
-Dessuten har ikke denne valideringsprosessen noe med PHP-sikkerhetshull noe å gjøre, men mer for å identifisere bruker.
Sende passord på e-post er heller ikke et sikkerhetshull som man kan knytte til PHP.
 
Topp