- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
Тренды маркетинга в 2024 году: мобильные продажи, углубленная аналитика и ИИ
Экспертная оценка Адмитад
Оксана Мамчуева
В 2023 году Google заблокировал более 170 млн фальшивых отзывов на Картах
Это на 45% больше, чем в 2022 году
Оксана Мамчуева
Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий
Появилась идея написать движок.
Прежде чем начать, хотелось бы больше узнать о "дырявости" существующих движков.
Как не наделать дыр ?
Ничего не писать. А в чем, кстати, потребность? Чем он будет лучше остальных?
Самый правельный вопрос.
Насчёт не чего не писать, несогласен "попытка не пытка". Я кроме времени не чего не теряю, надоест или пойму что не смогу брошу.
Ну я думаю, что если напишу движок, то он будет идеально заточен под мои сайты. Не сразу конечно, но и существующие движки приходится частично переделывать.
Прежде всего надо почитать книжки по программированию, определиться с задачей и начать писать.
Ошибки все равно будут, но это даже хорошо, т.к. способствует хорошему обучению.
Это само собой, просто хочу узнать: что есть дыра, как её найти и как её залатать. Если можно пример.
el_aspect, в вебе в большинстве случаев "дыра" заключается в недостаточной обработке данных, пришедших от пользователя. Наиболее распространенные варианты описаны тута. На мой взгляд, реальную опасность представляют:
- SQL инъекция: данные копируются в SQL-запрос без обработки, злоумышленник может выполнить произвольный запрос
- XSS: в форму комментария вставляют, например, JS-код, отправляющий куку SESSID на мыло злоумышленника, так можно заполучить доступ к админскому аккаунту
Как реализовать защиту - есть много вариантов. Внимательно следите за теми частями кода, где данные извлекаются из $_REQUEST/$_SESSION, постарайтесь написать набор методов для обработки данных пользователя, и, по возможности, вызывать их автоматически/неявно.
От остальных видов уязвимостей, описанных в Wiki, вполне можно застраховаться, не используя некоторый функционал (не использовать eval(), не вызывать внешние программы через exec(), не подключать файлы динамически и т.д. - без всего этого вполне можно жить).
Если отклониться от сабжа, могу дать такой совет: думайте в первую очередь не о безопасности системы, а о ее гибкости, расширяемости и удобстве использования. Если у Вас есть хороший, логичный код, будет не слишком сложно модифицировать его, чтоб он стал защищенным. Рассматривайте защиту как частный случай модификации, и просто делайте легкий в поддержке код.
Кроме того, перед началом использования системы, дайте исходные коды на ревизию нескольким толковым разработчикам. Чтоб найти большую часть потенциальных уязвимостей, достаточно внимательно прочитать код.
Если собираетесь писать собственную CMS лучше не начинать с нуля, а воспользоваться полуфабрикатами (фреймворками). Во-первых, как правило, в них проблемы инъекций и XSS уже решены. И во-вторых, резко упрощается расширяемость, улучшается читабельность кода, имеются классы доп. библиотек для наиболее распространенных функций.
см. например http://codeigniter.com/ или http://www.cakephp.org
Пасибо огромное, всё учту.