Система удаленного управления сайтами phpSiteManager.
Безопасность. Безопасная работа с Базой Данных.
Возможность сохранять базу данных в архив на сервере А также возможность восстанавливать базу данных из любого архива. Настройка автоматического или ручного архивирования Базы Данных. Задание ограничений.
Есть возможность задать ограничение на количество записей в любых разделах системы управления, а также задать ограничения на объем выгружаемых на сайт файлов. Ограничения задаются индивидуально для каждого раздела системы и сайта портала. История изменений.
Все действия пользователей связанные с изменением данных сохраняются в специальном разделе системы. Можно осуществлять выборку по дате, а также выяснить, в какой момент была потеряна та или иная информация и кто в этом виноват. Защита от взлома.
У каждого пользователя есть свой собственный пароль, хэшируемый по алгоритму "MD5 Message Digest Algoritm", что обеспечивает полную сохранность даже в случае попадания базы данных паролей в руки злоумышленников.
Защищенные протоколы работы в интернете.
Работа системы управления может осуществляться по защищенному протоколу HTTPS. Принципы безопасности WEB-программирования
Главный девиз - не доверять входящим данным. Все переменные полученные от пользователя должны быть обработаны перед дальнейшим их использованием (под переменными пришедшими от пользователя подразумеваются все переменные значение которых может изменить пользователь). Порождаемые опасности: - SQL Injection.
Sql Injection это широко распостраненный метод взлома Интернет приложений. Он подразумевает вставку SQL кода через POST, GET и другие методы в переменные которые подставляются в SQL запрос к базе данных с целью изменения или получения записей.
Защита:
Все переменные вставляемые в sql код, должны быть безопасны. Все переменные приходящие от пользователя следует обработать их таким образом чтобы они не могли нарушить работу скрипта.
- Выполнение системных вызовов из PHP-скриптов.
В PHP предусмотрено несколько средств для выполнения системных вызовов. Ну а если подробнее, то system(), exec(), passthru(), popen() и оператор обратная кавычка [backtick] (`) позволяют выполнять команды операционной системы непосредственно из PHP-скрипта. И каждая из перечисленных функций при неадекватном использовании может предоставить злоумышленнику огромные возможности исполнения системных команд на вашем сервере. Как это было и в случае с доступом к файлам, большинство дыр появляется, когда текст команды составляется на основе небезопасных данных, полученных со стороны.
Защита:
Все как всегда, проверка пришедших от пользователя данных. Для борьбы с этим недугом PHP предлагает две функции: escapeshellarg() и escapeshellcmd().
|
