OpenForum RSS: OpenNews: Десять правил написания безопасного кода на PHP https://opennet.ru/openforum/vsluhforumID3/3386.html В серии статей "Ten Security Checks for PHP" кратко рассматриваются 10 наиболее часто совершаемых PHP программистами ошибок, приводящих к проблемам с безопасностью скриптов.<br><br>Кратко, пересказ:<br><br><br><br>Избегайте использования переменных сформированных на основании данных пользователя в функции включения файла (include, require) или доступа к файлу (readfile, fopen, file). Например: include($lib_dir . "functions.inc"); include($page); переменные $lib_dir и $page перед этим нужно проверить либо на предмет наличия запрещенных символов, либо сопоставить с заранее определенным массивом допустимых значений:<br><br><br>$valid_pages = array(<br> "apage.php" =&gt; "",<br> "another.php" =&gt; "",<br> "more.php" =&gt; "");<br>if (!isset($valid_pages[$page])) {<br> die("Invalid request");<br>}<br><br>if (!(eregi("^[a-z_./]*$", $page) && !eregi("\\.\\.", $page))) {<br> die("Invalid request");<br>}<br><br><br><br><br>Необходимо экранировать опасные символы (\ и ') в переменных участвующих в SQL запросах.Например, злоумышленник может передать переменную вида "p Десять правил написания безопасного кода на PHP (Pilat) https://opennet.ru/openforum/vsluhforumID3/3386.html#2 Fri, 18 May 2007 13:07:16 GMT &gt;&gt;Необходимо экранировать опасные символы (\ и ') в <br>&gt;&gt;переменных участвующих в SQL запросах.Например, <br>&gt;&gt;злоумышленник может передать переменную вида <br>&gt;&gt;"password=a%27+OR+1%3Di%271" которая будет <br>&gt;&gt;использована в SQL запросе как "Password='a' or <br>&gt;&gt;1='1'". Решение: включить magic_quotes_gpc в <br>&gt;&gt;php.ini или экранировать переменные самостоятельно<br>&gt;&gt; через addslashes();<br><br>Прото вредный совет. Надо использовать prepare('select * from passwd where password=?') и execute($password) Десять правил написания безопасного кода на PHP (TaranTuL) https://opennet.ru/openforum/vsluhforumID3/3386.html#1 Mon, 08 Mar 2004 12:32:42 GMT &gt;&gt;При использовании не mod_php, а CGI варианта <br>&gt;&gt;php.cgi не забывайте, что через php.cgi можно <br>&gt;&gt;получить доступ к любому файлу в директориях <br>&gt;&gt;защищенных через .htaccess, так как доступ в этом <br>&gt;&gt;случае ограничен только для прямых запросов, но <br>&gt;&gt;не для запросов через CGI скрипт php.cgi. <br><br>давно устрарело, пхп сама проверяет как ее вызвали и при прямом вызове генерит ошибку.<br><br><br>