April 17th, 2007

Злобный Кысь

PHP: Советы по безопасности для параноиков

Долго рылся, но не смог найти внятную информацию по безопасности PHP, собранную в одном большом документе. А раз так, решил собрать все, что у меня есть, и кинуть клич - КТО МОЖЕТ ЧТО ЕЩЕ ПОСОВЕТОВАТЬ?

Никогда не доверяйте входящим данным из внешнего источника

  • Ни один внешний источник не является 100% надежным по определению. Абсолютно все данные должны быть проверены на легальность а также отформатированы в соответствии с ожидаемым типом.
  • Старайтесь избегать upload-ов! Если же согласно вашему проекту, файлы должны заливаться на сервер, максимально изолируйте место "залива" - никакого чтения оттуда, и уж тем более никакого запуска на исполнение (аттрибуты спасут только в Linux-е).
  • Никаких cookie!!! В конце концов, они же могут быть просто тупо отключены.

Collapse )