Jestem lekko doświadczonym programistą php i od 2007 r. Robię "to cholerstwo"; jednak nadal jestem stosunkowo n00bish, jeśli chodzi o zabezpieczanie moich aplikacji. W sposób, w jaki nie wiem wszystkiego, co wiem, mogłem i powinnam.Baza danych PHP/SQL wyszukująca dobre praktyki i bezpieczeństwo
Podniosłem Securing PHP Web Applications i czytam na ten temat, sprawdzając wszystko po drodze. Mam kilka pytań dotyczących ogólnej grupy SO, która odnosi się do kwerend bazy danych (głównie pod mysql):
Podczas tworzenia aplikacji, które umieszczają dane w bazie danych, to czy mysql_real_escape_string i ogólne sprawdzanie (is_numeric itp.) Na danych wejściowych jest wystarczające? A co z innymi typami ataków różniącymi się od wtrysku sql.
Czy ktoś mógłby wyjaśnić procedur przechowywanych i przygotowanych oświadczeń z nieco więcej informacji niż - robisz je i wykonywanie połączeń do nich. Chciałbym wiedzieć, jak działają, jakie walidacje toczą się za kulisami.
Pracuję w środowisku związanym php4, a php5 nie wchodzi w grę. Czy ktoś jeszcze był na tym stanowisku, co zrobiłeś, aby zabezpieczyć swoje aplikacje, podczas gdy wszystkie fajne dzieci używają tego słodkiego nowego interfejsu mysqli?
Co to są niektóre ogólne dobre praktyki, które ludzie uznali za korzystne, nacisk na stworzenie infrastruktury zdolnej do wytrzymania aktualizacji i możliwych migracji (takich jak przenoszenie php4 do php5).
Uwaga: po wyszukiwaniu nie można znaleźć niczego podobnego do tego, które trafiło w zabezpieczenia php-mysql.
Haha dziękuje Jonowi – Louis