С точки зрения безопасности вывод сообщений об ошибках несет в себе как плюсы, так и минусы.
Одна из стандартных методик, применяемых в атаках - ввод некорректных данных с последующим анализом содержания и характера сообщений об ошибках. Это дает взломщику возможность проверить скрипты и данные сервера на наличие потенциальных дыр. Например, если взломщик получил некоторую информацию о странице на основании отправки формы, он попробует предопределить некоторые передаваемые значения или модифицировать их:
Поле, дом...Красивые пейзажи. Глаза отдыхают и радуется душа, глядя на это всё...
Приятного просмотра всем
[570x380]Вступление
На сегодняшний день базы данных являются ключевыми компонентами большинства веб-приложений, позволяя предоставлять на сайтах динамический контент. Поскольку в таких БД может храниться очень точная или конфиденциальная информация, вы должны обеспечить хорошую защиту данных.
Для извлечения или сохранения любых данных вам необходимо открыть соединение с базой данных, отправить верный запрос, извлечь результат и закрыть соединение. В настоящее время наиболее распространенный стандарт общения - структурированный язык запросов (SQL). Всегда следует помнить о возможности атаки посредством SQL-запроса (SQL-инъекция).
Очевидно, что сам по себе PHP не может защитить вашу базу данных. Этот раздел документации рассказывает об основах безопасного доступа и управления данными в PHP-скриптах.
Запомните простое правило: максимальная защита. Чем больше потенциально опасных участков системы вы проработаете, тем сложнее будет потенциальному взломщику получить доступ к базе данных или повредить ее. Хороший дизайн базы данных и программных приложений поможет вам справиться с вашими страхами.
[500x375]
По дороге шли человек, лошадь и собака. В них попала молния и испепелила, но они не заметили, что умерли и продолжали путь дальше. Вдруг перед ними появились красивые ворота с мраморным порталом и сад за ними, человек спросил у стражника, охраняющего ворота: «что это за место и можно ли здесь напиться воды?». Стражник ответил: «Это Рай, но животным вход сюда запрещен, если ты хочешь, то можешь оставить животных за воротами, сам же сможешь утолить свою жажду и навсегда остаться жить в этом прекрасном саду!». Человек не захотел расставаться с лошадью и собакой и решил продолжить свой путь, хоть жажда и мучила его. Вскоре они встретили другой сад, ворота этого сада были похожи на калитку и их никто не охранял……….в глубине сада под деревом лежал стражник. Человек спросил у него: «что это за место и можно ли здесь напиться воды?». Стражник ответил: «конечно можно, прямо пред вами источник, напейтесь из него. А находитесь вы сейчас в Раю». Тогда человек удивленно сказал:
-Но ведь Рай был за воротами мраморного портала!
-Это был Ад, - спокойно ответил стражник.
-Почему же вы не запретите им называться чужим именем?
-Они оказывают нам большую услугу.ТАМ ОСТАЮТСЯ ТЕ, КТО СПОСОБЕН ПРЕДАТЬ ДРУЗЕЙ.
ХА-ХА-ORG
PHP является одним из важных моментов в вопросе безопасности сервера, поскольку PHP-скрипты могут манипулировать файлами и каталогами на диске. В связи с этим существуют конфигурационные настройки, указывающие, какие файлы могут быть доступны и какие операции с ними можно выполнять. Необходимо проявлять осторожность, поскольку любой из файлов с соответствующими правами доступа может быть прочитан каждым, кто имеет доступ к файловой системе.
Поскольку в PHP изначально предполагался полноправный пользовательский доступ к файловой системе, можно написать скрипт, который позволит читать системные файлы, такие как /etc/passwd, управлять сетевыми соединениями, отправлять задания принтеру, и так далее. Как следствие вы всегда должны быть уверены в том, что файлы, которые вы читаете или модифицируете, соответствуют вашим намерениям.
Еще со времен наскальной живописи, интерьеры жилищ отражали социальный статус, физические и психологиче ские потребности своих обитателей. Чем дольше существует человечество, тем больше менялись те скромные пещерки под воздействием быта и творческой мысли людей. В результате этой эволюции изменились не только элементы жилого пространства, но и жилище в целом, что в свою очередь демонстрирует безграничное стремление нашего вида к творчеству.
Ниже представлена коллекция фотографий 20-ти наиболее сюрреалистичных, причудливых, странных и интересных домов планеты. Кто знает, может быть, они вдохновят вас на создание своего проекта? (20 фотографий)
[700x450] Если PHP установлен как модуль Apache
Когда PHP используется как модуль Apache, он наследует права пользователя, с которыми был запущен веб-сервер (обычно это пользователь 'nobody'). Это влияет на обеспечение безопасности и реализацию авторизации. Например, если вы используете базу данных, которая не имеет встроенного механизма разграничения доступа, вам прийдется обеспечить доступ к БД для пользователя 'nobody'. В таком случае зловредный скрипт может получить доступ к базе данных и модифицировать ее, даже не зная логина и пароля. Вполне возможна ситуация, когда веб-паук неверными запросами страницы администратора базы данных уничтожит все данные или даже структуру БД. Вы можете избежать такой ситуации при помощи авторизации Apache или разработав собственную модель доступа, используя LDAP, файлы .htaccess или любые другие технологии, внедряя соответствующий код в ваши скрипты.
Достаточно часто используются такие настройки безопасности, при которых PHP (имеется ввиду пользователь, с правами которого выполняется Apache) имеет минимальные привелегии, например отсутствует возможность записи в пользовательские директории. Или, например, отсутствует возможность работать с базой данных. При этом система безопасности не позволяет записывать как "хорошие", так и "плохие" файлы, аналогично позволяет производить как "хорошие", так и "плохие" транзакции.
Распространенной ошибкой является запуск Apache с правами суперпользователя или любое другое расширение полномочий веб-сервера.
Расширение привилегий веб-сервера до полномочий угрожает работоспособности всей системы, такие команды, как sudo, chroot должны выполняться исключительно теми, кто считает себя профессионалами в вопросах безопасности.
Существует несколько простых решений. Используя open_basedir, вы можете ограничить дерево доступных директорий для PHP. Вы так же можете определить область доступа Apache, ограничив все веб-сервисы не-пользовательскими или не-системными файлами.
PHP.SUЕсли PHP установлен как модуль Apache
Когда PHP используется как модуль Apache, он наследует права пользователя, с которыми был запущен веб-сервер (обычно это пользователь 'nobody'). Это влияет на обеспечение безопасности и реализацию авторизации. Например, если вы используете базу данных, которая не имеет встроенного механизма разграничения доступа, вам прийдется обеспечить доступ к БД для пользователя 'nobody'. В таком случае зловредный скрипт может получить доступ к базе данных и модифицировать ее, даже не зная логина и пароля. Вполне возможна ситуация, когда веб-паук неверными запросами страницы администратора базы данных уничтожит все данные или даже структуру БД. Вы можете избежать такой ситуации при помощи авторизации Apache или разработав собственную модель доступа, используя LDAP, файлы .htaccess или любые другие технологии, внедряя соответствующий код в ваши скрипты.
Достаточно часто используются такие настройки безопасности, при которых PHP (имеется ввиду пользователь, с правами которого выполняется Apache) имеет минимальные привелегии, например отсутствует возможность записи в пользовательские директории. Или, например, отсутствует возможность работать с базой данных. При этом система безопасности не позволяет записывать как "хорошие", так и "плохие" файлы, аналогично позволяет производить как "хорошие", так и "плохие" транзакции.
Распространенной ошибкой является запуск Apache с правами суперпользователя или любое другое расширение полномочий веб-сервера.
Расширение привилегий веб-сервера до полномочий угрожает работоспособности всей системы, такие команды, как sudo, chroot должны выполняться исключительно теми, кто считает себя профессионалами в вопросах безопасности.
Существует несколько простых решений. Используя open_basedir, вы можете ограничить дерево доступных директорий для PHP. Вы так же можете определить область доступа Apache, ограничив все веб-сервисы не-пользовательскими или не-системными файлами.
PHP.SU
Возможные атаки
Использование PHP как бинарного CGI-приложения является одним из вариантов, когда по каким-либо причинам нежелательно интегрировать PHP в веб-сервер (например Apache) в качестве модуля, либо предполагается использование таких утилит, как chroot и setuid для организации безопасного окружения во время работы скриптов. Такая установка обычно сопровождается копированием исполняемого файла PHP в директорию cgi-bin веб-сервера. CERT (организация, следящая за угрозами безопасности) CA-96.11 рекомендует не помещать какие-либо интерпретаторы в каталог cgi-bin. Даже если PHP используется как самостоятельный интерпретатор, он спроектирован так, чтобы предотвратить возможность следующих атак:
-
Доступ к системным файлам: http://my.host/cgi-bin/php?/etc/passwd
Данные, введенные в строке запроса (URL) после вопросительного знака, передаются интерпретатору как аргументы командной строки согласно CGI протоколу. Обычно интерпретаторы открывают и исполняют файл, указанный в качестве первого аргумента.
В случае использования PHP посредством CGI-протокола он не станет интерпретировать аргументы командной строки.
-
Доступ к произвольному документу на сервере: http://my.host/cgi-bin/php/secret/doc.html
Это цитата сообщения Prettyke Оригинальное сообщение
Запретный город в Пекине, Китай
[550x471]Если проехать 70 км на юго-восток от городка Бадалин, где находится один из лучше всего сохранившихся фрагментов Великой китайской стены, вы окажетесь в столице Китая – Пекине, который представляет собой современный мегаполис с населением около 11 миллионов человек!
Небоскрёбы, паутина дорог, яркие цветные вывески, однако всё это вдруг исчезает, когда вы попадаете в центр Пекина. Как только современная цивилизация в одночасье уступила место императорскому Китаю, значит вы вышли к Запретному городу.
Запретный город построили в Пекине на определенной оси - север-юг. Это важно, потому что трон императора тоже находится на этой оси. Такое размещение трона символизировало тот факт, что император является центром мироздания.
[344x24]
«Движок» PHP
Языки программирования бывают двух видов: интерпретируемые и компилируемые. А каким языком является PHP? Для того, чтобы ответить на этот вопрос, нам необходимо разобраться в терминологии.
Программа, переводящая код, написанный на одном языке программирования, на другой называется транслятором. Компилятор – это тоже транслятор. Он переводит код, написанный на языке высокого уровня, в машинный код. В результате процесса компиляции создается двоичный исполняемый файл, который уже можно запускать без компилятора.
Интерпретатор – это совершенно другая категория. Интерпретатор не переводит код, а исполняет его. Интерпретатор анализирует код программы и исполняет каждую его строку. Каждый раз при исполнении такого кода, необходимо пользоваться интерпретатором.
По производительности интерпретаторы значительно уступают компиляторам, поскольку двоичный код выполняется намного быстрее. Зато интерпретаторы позволяют полностью контролировать программу во время ее исполнения.
Что касается PHP, то он не является ни компилятором, ни интерпретатором. PHP представляет собой нечто среднее, между компилятором и интерпретатором. Попробуем в этом разобраться и рассмотрим, как PHP обрабатывает код.
Введение в безопасность PHP
PHP является мощным языком программирования и интерпретатором, взаимодействующим с веб-сервером как модуль либо как независимое бинарное CGI приложение. PHP способен обращаться к файлам, выполнять различные команды на сервере и открывать сетевые соединения. Именно поэтому все скрипты, исполняемые на сервере являются потенциально опасными. PHP изначально разрабатывался как более защищенный (относительно Perl, C) язык для написания CGI-приложений. При помощи ряда настроек во время компиляции, а также настроек во время работы приложения, Вы всегда сможете найти подходящее сочетание свободы действий и безопасности.
[700x337]Российский Открытый Конкурс дизайна растительных аквариумных композиций 2011
Конкурсные работы ROAPLC2011
В РНР существует несколько стандартных функций для работы с классами и объектами. Рассмотрим некоторые функции для работы с классами и объектами в контексте PHP4.
get_class_methods()
Функция get_class_methods() возвращает массив имен методов класса с заданным именем. Синтаксис функции get_class_methods():
array get_class_methods (string имя_класса)
Это цитата сообщения Prettyke Оригинальное сообщение
Пещерные храмы Эллоры
[700x476]Пещерные храмы Эллоры находятся в индийском штате Махараштра и состоит из 34 пещерных храмов, которые создавались на протяжении VIII-IX веков. 12 из этих храмов являются буддийскими, 2 - джайнскими, а остальные - индуистские.
Такое многообразие религий, которые сосуществуют бок о бок, говорят о религиозной терпимости, являющейся отличительной чертой культуры древней Индии.
Монастыри и храмы Эллоры вырезали в базальтовых скалах в течение 500 лет с VI по X века нашей эры.
[344x24]
Перегрузка свойств классов
Обращения к свойствам объекта могут быть перегружены с использованием методов __call, __get и __set. Эти методы будут срабатывать только в том случае, если объект или наследуемый объект не содержат свойства, к которому осуществляется доступ. Синтаксис такой:
void __set ( string имя, mixed значение )
void __get ( mixed имя )
С помощью этих методов обращения к свойствам класса могут быть перегружены с целью выполнения произвольного кода, описанного в классе. В аргументе имя передаётся имя свойства, к которому производится обращение. Аргумент значение метода __set() должен содержать значение, которое будет присвоено свойству класса с именем имя.