Bezpečnost aplikací
Níže je uveden pouze náhled materiálu. Kliknutím na tlačítko 'Stáhnout soubor' stáhnete kompletní formátovaný materiál ve formátu PDF.
department of computer
science
and engineering
X36TW1 – Tvorba webových aplikací 1
Přednáška 9 / Strana 1
Přednáška 9:
B ezpeč nos t P H P a plik a c í
Tvorba webových aplikací 1
(Přednáška založená na prezentaci
Iliu Alshanetskeho)
department of computer
science
and engineering
X36TW1 – Tvorba webových aplikací 1
Přednáška 9 / Strana 2
Osnova přednášky
Ošetření vstupu
Útoky:
– Cross-site scripting
– Cross-Site Request Forgeries
– SQL injection
– Vzdálené spouštení kódu
Chybová hlášení
Soubory
Bezpečnost session
Hesla
department of computer
science
and engineering
X36TW1 – Tvorba webových aplikací 1
Přednáška 9 / Strana 3
Bezpečnost
Bezpečnost je veličnia, ne vlastnost
– aplikace může být víc nebo méně bezpečná– aplikace nemůže být absolutně bezpečná
Je potřebné poznat bezpečnostné hrozby a předcházet
jim
– při návrhu aplikace– při implementaci
Nezneužívejte prosím informace z této přednášky :)
department of computer
science
and engineering
X36TW1 – Tvorba webových aplikací 1
Přednáška 9 / Strana 4
Ošetření vstupu
Uživatelský vstup není důvěryhodný:
– Může být částečně ztracen nebo změněn cestou na
server.
– Může být chybně zadán uživatelem.
– Může být záměrně zadán za účelem získat kontrolu nad
aplikací.
Každý uživatelský vstup musí být před použitím
validován.
department of computer
science
and engineering
X36TW1 – Tvorba webových aplikací 1
Přednáška 9 / Strana 5
Vstupní data
Počínaje PHP 4.1 má PHP množinu super
globalních proměnných pro přístup ke vstupním
hodnotám:
– $_GET – data z požadavků GET.
– $_POST – data z požadavků POST.
– $_COOKIE – cookie data.
– $_FILES – uploadované soubory.
– $_SERVER – serverová data
– $_ENV – proměnné prostředí
– $_REQUEST – kombinace GET/POST/COOKIE