Как защитить свой сайт от фрилансера

DIFF еще ни кто не отменял - все примочки им выпалить не сложно, если пользоваться умеешь.

Про готовые решения я писал, исходя из мысли, что заказчик вообще сам все поставит, если хоть немного разбирается. Ну или найдет того, кому он может доверять, и кто достаточно разбирается.

А хитро-упрямо-обидчивых программеров нужно отстреливать еще на подходе к офису. Я на таких нарывался - босс по знакомству нанимал... Дашь ему лишние права - все, приплыли. Такого наворотит, что потом проще все выкинуть и с нуля написать.

Нельзя с такими гуманоидами работать - дороже выйдет.

Я обычно в сайтах которые пишу для себя, просто на всякий случай, оставляю две хитрозамаскированные уязвимости: одна в админпанели, для заливки шелла (доступно только админу сайта). Другая - для того чтобы можно было состряпать хитрые куки, позволяющие залогиниться как админу. Вторая уязвимость в моих сайтах реализована настолько хитро, что, думаю, даже профи при проверке кода ее не найдет.

Каким образом можно увидеть дырки самостоятельно?

Может быть, посмотреть данные в MySQL, или в коде..?

ЗЫ. Знания PHP имеются, но не шибко большие

Никаким. Если Вы не делаете сами, Вы зависимы.

Вот отдаете машину в автосервис, какая гарнития что ремонтник не нахимичит с сигнализацией или тормозами вашими, если вы неполадите? Никакой.

Поэтому добрые отношения, и изначальный выбор адекватного человека с хорошей репутацией спасает от головной боли. Даже без договора.

Если открытый код, то изучать всё в подряд. Упустить что-то можно.

Легче самому заново переписать.

Если открытый код, то изучать всё в подряд. Упустить что-то можно.

Легче самому заново переписать.

Дыры могут быть разнообразными, увидеть можно (не всегда) только при полной проверке кода. Чаще всего шеллы используют как файловые менеджеры - заменить файл, скопировать, создать папку и т.д. Поэтому для успокоения можно сделать поиск в php-коде функций работы с файловой системой (fopen, copy, mkdir и т.д.), посмотреть где и как они используются.

Поставте движок на денвер, и закажите пару заказов, с эмулируйте работу магазина в общем, если что-то на его мыло отсылается, на денвере есть smtp заглушка, вы сможите просмотреть чего куда отсылалось.

Дырки для заливки шеллов можно найти так:

- найти в коде все функции для работы с файловой системой

- тщательно проанализировать переменные которые стоят в аргументах этих функций, и можно ли как-то повлиять на их значения "пользовательским вводом".

Дырки для ложной аутентификации:

- проанализировать участок кода, который отвечает за аутентификацию.

Дырки для инъекции в БД:

- аналогично дыркам для шеллов но это намного сложнее, т.к. обычно в коде очень много операций с БД.

Вообще-то проверить код на наличие "случайных" дарок относительно просто: надо проверить фильрацию всего пользовательского ввода... А вот со "специальными" дырками сложнее, т.к. фильтрация типа и есть, только какие-то специальные инъекции все-таки могут обойти фильрацию.

Ыыы.... напугали тс :) А с программистами на самом деле не так просто дружить.... особенно, если тебе что то постоянно срочно от него нужно :)