Vanliga säkerhetshål och lösningar

PHPportalen Forum Index » PHP
Lägg ett bokmärke på hela tråden
Skapa nytt inlägg   Svara på inlägget Gå till sida Föregående  1, 2, 3 ... 9, 10, 11
Visa föregående ämne :: Visa nästa ämne  
Startad av: Meddelande
marcusgarden



Medlem i: 3197 dagar

Status: Offline



#742006
Inlägg Skrivet: 2017-11-24 00:57      Ämne: Citera

pengi skrev:
cort3x skrev:
En sak som jag är intresserad utav, det är lite kommandon och saker man kan skriva för att kolla själv om en hemsida är säker eller inte.

Det finns inte något generellt verktyg för det, och framförallt aldrig någon generell garanti för att en sida är säker.

Det finns hjälpmedel som jag inte kan namnet på som kontrollerar vissa mönster, men de kan bara hitta eventuella väldigt enkla hål, men verktyg har inte någon aning om det är önskat beteende eller säkerhetshål. En annan sak är att om någon eller något inte hittar ett hål är det inte någon garanti för att det inte finns.

Gör rätt från början, och designa sidan för att få bort så mycket mänsklig faktor som möjligt. Det går att göra väldigt bra med t.ex. placeholders vad gäller SQL-injektioner. (prepared statements i PDO t.ex.)


Har precis börjat med PDO, har förut använt "vanliga" sql-frågor.
Försöker hitta information om hur skyddad jag egentligen är:/ Tar PDO bort alla säkerhetsrisker? Om inte, vad måste/bör jag göra mer? T.ex. så använder jag intval($var) på de variabler jag vill ha till int:ar.
Finns risken för SQL-injektioner även för PDO?

Lite svårt att hitta info som inte är för experter:/

Behöver kanske en PDO for dummies:)
 
Till toppen på sidan
Visa användarprofil Skicka privat meddelande
harald_b
Moderator



Medlem i: 4658 dagar
Från: Tavesta
Status: Offline



#742007
Inlägg Skrivet: 2017-11-24 02:28      Ämne: Citera

marcusgarden skrev:
Tar PDO bort alla säkerhetsrisker? Om inte, vad måste/bör jag göra mer? T.ex. så använder jag intval($var) på de variabler jag vill ha till int:ar.
Finns risken för SQL-injektioner även för PDO?

Nej. PDO i sig tar inte bort några risker alls. Du kan fortfarande skriva samma vanliga osäkra databasfrågor som du kan med de andra databasverktygen.
Men om du använder preparerade databasfrågor så är datat som du då slipper bädda in i själva sql-koden skyddat på ett mycket bra sätt, så just det datat inte kan användas för sql-injection just där.
Det som gör PDO säkrare är att det är mycket enkelt att skapa preparerade databasfrågor med PDO, och på så sätt slippa göra misstag.
 

_________________
R.r - Ett fritt affärssystem
Till toppen på sidan
Visa användarprofil Skicka privat meddelande
Visa tidigare inlägg:   
Skapa nytt inlägg   Svara på inlägget Gå till sida Föregående  1, 2, 3 ... 9, 10, 11
PHPportalen Forum Index » PHP
Hoppa till:  
Du kan inte skapa nya inlägg i det här forumet
Du kan inte svara på inlägg i det här forumet
Du kan inte ändra dina inlägg i det här forumet
Du kan inte ta bort dina inlägg i det här forumet
Du kan inte rösta i det här forumet
Du kan inte bifoga filer i detta forum
Du kan inte ladda ner filer från detta forum
Kontakta oss på adressen: info@phpportalen.net
Webbplatsen bygger i grunden på phpBB © 2001, 2002 phpBB Group

Modifieringar har senare gjorts i systemet av PHPportalen
Sid och logotypdesign skapad av Daren Jularic