23. januar 2008 - 10:17Der er
9 kommentarer og 1 løsning
Sikkerhedsspørgsmål
Hej eksperter.
Jeg har været så uheldig at få en side hacket. Alt indholdet på webserveren var slettet og kun index.php var tilbage, dog med ændret indhold.
Jeg har snakket med min udbyder og de siger at der ikke har været andre end min ip logget på ftp'en, så det kan ikke være der igennem at filerne er blevet slettet og lavet om.
Men hvordan kan det så lade sig gøre?
Jeg bruger "include" på alle mine sider, men de har ikke nogle variabler med. Jeg har også nogle enkelte sider som henter fra databasen. Her har jeg så hørt lidt om mysql_real_escape_string() Sidste men ikke mindst har jeg en kontaktside med en formular som bliver tjekke via et javascript. Når valideringer er ok, bliver man sendt videre til en side som blot bruger mail() funktionen til at maile indholdet til mig. Der ligges ikke noget ned i databasen.
Den moderne arbejdsplads er i stigende grad afhængig af mødelokaler til at fremme samarbejde, men dette skift medfører også stigende sikkerhedsudfordringer.
hmm, så kan du starte med at kalde dine include filer for navn.inc.php Ellers vil man kunne se koden som tekst i browseren, hvis filen kaldes fra adreselinien.
Og brug et andet navn til dit dir med includefiler.
Jeg har nu ændret mine include filer til at hedde f.eks. soegeord.php, og jeg har ændret bibliotekets navn til et dansk navn som ikke burde være til at gætte.
Jeg har også brugt mysql_real_escape_string() de steder hvor der kommer data fra brugeren.
Svært at svare på uden at se din kode. Men er din side på en Apache, og du har mulighed for at bruge .htaccess, kan du jo bruge flg. i en .htaccess i det dir hvor dine inlucefiler ligger:
Order deny,allow deny from all
så er det ikke muligt at tilgå includefiler via web. Men dine php scripts kan godt.
Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.
