Основные методы защиты сайта от злоумышленников

1. начиная от использования абсолютных урл до JS для проверки домена

2. SQL Injection, XSS, read only for upload etc

3. сами написали

4. "read only" для апача ну и в замисимости от проекта

Читал, что при использовании абсолютных урл - увеличивается нагрузка на сервер (допустим у сайта хорошая посещаемость). Это действительно так или фуфло?

А на php можно сделать проверку домена и если он тот что нужен - тогда уже выводить контент? Или это не то? Спасибо

1."неправда". да и каким образом это мижет увеличить нагрузку?

2.а что у вас скопировали? сняли всё с фтп или просто рипнули хтмл?

Вы такими словами говорите "рипнули"...Я не знаю, что это, но сейчас посмотрю что значит.

по 1 - ну якобы путь "кривой", - я не знаю до конца, по этому и спросил.

по 2 - нет, у меня ничего не рухнуло, но хочется разобраться, как можно максимально обезопасить ресурс от взлома и т.д.

---------- Добавлено 10.10.2012 в 18:42 ----------

Вот цитата с одного сайта

Можете ли пояснить, а какой именно код (контент) могут вставить в поле формы - про вредоносный javascript ?

Про рипнули сайт - вот прочитал, правильно всё советуют? А если сайт не на DLE, а просто на php ?

под "рипнули" имеется ввиду, что ваш сайт просто скачали например "Телепортом", т.е. у них есть "рабочая" хтмл версия без логики

1. как может абсолютный путь быть "кривее" относительного? вы понимаете разницу между ними?

2. да любой :) начиная от alert и заканчивая всем, что поместится в ограничения запроса GET. поэтому рекомендуют формы отсылать POST

а ДЛЕ это не ПХП?

в любом случае, если сайт утащат (рипнут), то почистить код и заменить мой домен на чужой, я думаю ни для кого не составит труда.

---------- Добавлено 10.10.2012 в 19:42 ----------

Нигде не могу найти подробной инфо - а что можно передать через url содержащий переменные Get запроса. Просто не могу понять, ну напишут они в строке браузера

www.site.ru/forma.php?name5=ччччччч

Вместо ччч, что-то там (что можно передать так и не нашел). Я не понимаю, это что выполнится на сервере что ли, добавится неизвестный код (если захотят) в каждый файл что ли? Извините за нубский вопрос...

1. вы написали "просто скопируют". против "умных хацкеров" защиты нет

2. www.site.ru/forma.php?name5=<script>alert("a")</script>

Вариантов много, например смогут вывести на экран всех пользователей зареганных, а если пароли открыто лежат в базе, то и пароли соответственно. Ну или их хеши. Вообщем любые данные с базы. Или javascript код, который вставит на вашу страницу html, например ссылку на свой сайт. Часто происходит например при кривой форме поиска.

А так нужно фильтровать все что пришло от пользователя, даже самые очевидные данные. К файлам особенный интерес, даже к картинкам. Правильные права на сервере, закрытие листинга файлов итд.

передадут в GET запросе то, что может:

1. прочитать/изменить базы данных

2. выполнить код на сервере

3. выполнить код в браузере

это "что-то" зависит исключительно от кривости конкретного софта.

насчет "стащили сайт" - этим даже не стоит заморачиваться. контент, на сайте уже проиндексирован, и если его расположить где-то еще - он там не будет уникальным, а значит толку от него мало.

основные угрозы проистекающие вследствие взлома вообще такие:

- воровство базы данных, а значит - контактов клиентов

- перехват трафика

- размещение и распространение вирусов и прочего нелегала

- рассылка e-mail спама с сервера

- размещение на сраницах сайтов левых ссылок на низкакачественные и нетематические ресурсы

все это, кроме первого случая производится путем изменения сайтовых файлов. для мониторинга таких изменений есть специальные пакеты, которые еще надо уметь настроить, и есть сервис iFube где все намного проще.

Спасибо. Можно чуть поподробнее про то как это установить?

---------- Добавлено 12.10.2012 в 22:19 ----------

Спасибо. А если передаются данные из формы методом POST, то это сделать не реально?