دوره مجازی PHP (جلسه 20): امنیت در برنامه نویسی PHP و شناسایی خطرات امنیتی

- visibility ۳۸ mode_comment

در جلسه ی امروز در مورد بحث بسیار مهم امنیت در زبان PHP صحبت می کنیم و بیش از 20 نکته ی مهم رو برای رعایت موارد امنیتی و کدنویسی امن به شما توضیح می دیم .

 

موارد مطرح شده در این جلسه عبارتند از :

فصل 16 : امنيت در PHP : شناسايي باگ هاي امنيتي و رفع آن ها

  • چرا و چگونه برنامه هايي ايمن بنويسيم ؟
  • شناخت انواع حملات و مشکلات امنيتي، پيشنيازي براي نوشتن برنامه هاي امن
  • دلايل ايجاد ناامني در برنامه هاي PHP و راه حل رفع انها
  • قانون اول ! عدم اعتماد به داده ها کاربران
  • مشکلات در پيکربندي وب سرور
  • مشکلات ناشی از فعال بودن register_globals و نحوه ی غیر فعال سازی آن
  • عدم تنظيم صحيح نحوه ي گزارش خطاها
  • مشکلات موجود به دلیل عدم انتخاب انکودینگ استاندارد
  • ساختار نامناسب برنامه برای لود کردن فایلها
  • عدم استفاده از نام ها و مقادیر پیش فرض
  • حذف فایل های نصب اسکریپت ها پس از اتمام مراحل نصب
  • قابل پیشبینی بودن رفتار ، ساختار و کدهای شما و مشکلات آن
  • غیرفعال سازی و یا استفاده ی صحیح از Powerful Commands ها در php
  • انتخاب نوع و سایز مناسب برای ستون های جداول پایگاه داده
  • پسوردهای ضعیف و مشکلات ناشی از آن
  • خصوصیت های یک  پسورد مطمئن و قوی
  • مشکلات امنيتي مربوط به ديتابيس و تزريق SQL یا SQL Injection
  • مشکلات ناشي از تزريق کد و داده هاي خطرناک (Cross-Site Scripting - XSS)
  • مشکلات ناشي از دزيده شدن Session ها و Cookie ها
  • حملات CSRF و راهکارهاي مقابله با آن
  • کهنه بودن ورژن نرم افزارها و اسکريپت ها
  • استفاده از فریم ورک های معروف برای رفع بسیاری از نگرانی های امنیتی
  • مشکلات موجود در هاست های اشتراکی، تهیه ی هاست از شرکت های معتبر و متخصص
  • آماده ی حمله ی هکرها باشید ! چه مسائلی را باید همیشه رعایت کنم و به یاد داشته باشم ؟
  • آشنايي بيشتر با الگوريتم هاي کدگذاري و Hash کردن
info توجه

این مطلب یک جلسه از دوره حرفه ای PHP می باشد و برای مشاهده آن باید در دوره ثبت نام کنید.

ثبت نام در دوره حرفه ای PHP

comment دیدگاه کاربران
میثم جبارزاده

با عرض سلام و خسته نباشید؛
می خواستم بدونم اگر از توابع هش سمت کاربر استفاده کردم و در جاوا اسکریپت هش انجام شد اگر کاربر به هر دلیل جاوا اسکریپت فعال نداشت چگونه برخورد کنیم؟ آیا هش سمت کلاینت درست نیست؟

لقمان آوند

بهتره اینکارو سمت سرور انجام بدید. اگه سمت کاربر انجام بدید هم امکان غیرفعال سازیش هست، هم امکان لو رفتن الگوریتم هشتون، هم امکان دستکاری توسط کاربر !

میثم جبارزاده

به نظرم موارد گفته شده در خصوص امنیت برای یک سایت آنلاین واقعی کافی نیست.
استاد لطفا اگر امکان داره در خصوص امنیت بیشتر راهنمایی کنید من از قبل با php آشنا بودم و صرفا این بسته آموزشی رو جهت تامین امنیت بیشتر خریداری کردم اما واقعیتش اینه که احساس می کنم سایتی که قراره آنلاین بشه به امنیت خیلی خیلی بالاتری نیاز داشته باشه.
سایت خودتون واقعا به موارد امنیتی گفته شده اکتفا کرده؟؟
باز هم از استاد عزیزم تشکر میکنم امیدوارم بررسی گردد.

لقمان آوند

سلام
مهمترین نکات مورد نیاز امنیتی رو ما ذکر کردیم که اگر رعایت کنید قطعا از لحاظ امنیتی وبسایتتون تا حدود زیادی امن میشه …
البته خیلی مسائل هست که به کدنویسی ممکنه مربوط نشه و در مباحث امنیتی مهم باشه . مثل پیکربندی سرور، آپدیت و رفع باگ های نرم افزاری نصب شده رو سرور و …
کلا مقوله امنیت خیلی گسترده هست. مواردی که گفتیم تقریبا اکثر اون چیزی بود که شما در کدنویسی و استفاده از خود نرم افزار می تونید رعایت کنید.

میثم جبارزاده

سلام و خسته نباشید
اگر قرار باشه پسورد بصورت plain text سمت سرور فرستاده بشه امکان شنودش وجود داره چون پروتکل http امن نیست!!!! پس احتمالا کنار هشینگ سمت سرور سمت کاربر هم لازم هست انجام بشه
استاد واقعیتش خیلی دوست داشتم دقیقا کدهای مربوط به امنیت یک سایت آنلاین رو ببینم.
فکر می کنم اون چیزی که تو واقعیت اتفاق می افته بسیار فراتر از اینهاست!!!!
استاد با مطالب گفته شده واقعا امنیت مطلوب رو تامین کردیم؟

لقمان آوند

اگر شنود ارتباط بین کلاینت و سرور هم مهمه براتون می تونید اینکار هم بکنید. ولی در کل هش سمت کلاینت نباید جایگزین سمت سرورش بشه! ولی خوب با هم استفاده کردنش هم می تونه مشکلی که گفتید رفع کنه تا حدودی …
کلا امنیت یه بحث نسبی هست و نمیشه ادعا کرد 100% امنیت وجود داره. ولی میشه به سمت 100% نزدیک و نزدیکتر شد. بله اگر مواردی که گفته شده رعایت کنید می تونید بابت خیلی از نگرانی های امنیتی خیالتون راحت باشه …

سلام خسته نباشید
گاهی در اخبار گفته میشه که یک فرد کم سن و سال سایتهای دولتی رو هک کرده!!! قطعا سایتهای دولتی امنیت کمی ندارند. آیا لزوما هکر دانش بالایی دارد؟ و استفاده از توابع برای جلوگیری از کد اینجکشن و… در اکثر سایتها رعایت میشون به نظر شما هکر ها معمولا از چه روشهایی استفاده میکنند؟

لقمان آوند

حالا کی گفته امنیت سایتای دولتی زیاده؟ وقتی سایتایی مثل فیسبوک، توییتر و لینکدین بعضا نقصای امنیتی توشون پیدا میشه اینا که سهله!
راه های نفوذ زیاده. کافیه یه نقص امنیتی مستعد حمله پیدا بشه برای هکر و این کافیه تا کارشو انجام بده .

نیاز به لاگین

برای ارسال دیدگاه و یا پرسیدن سوال خود در این قسمت، باید در سایت لاگین شوید.
1 2