Sok sikert,de neked ez a könnyen felhackelik a mániád,ha rendesen meg van csinálva akkor nem hackelik fel,ez nem mindennapos dolog,és jelszavakat is több féle módon lehet titkosítani nem csak a md5 létezik...
Te szerintem az ún. MySql injekciókra gondolsz,amikor az adatbeviteli mezõ hiányos biztonsági tulajdonságokkal van ellátva vagy egy-egy oldalon nem megfelelõ az ellenõrzés,de ezeket is nagyon könnyen ki lehet csiszolni aztán törjék fel,lásd:SMF
Csak érteni kell hozzá és sokat tesztelni,pl. te már láttál SMFet feltörni?Ha láttál is,hányat?Ingyenes tárhelyen? Ugyan már,erre a hostok nagyon figyelnek,ezért nagyban függ a szolgáltatódtól is a dolog.Pl. egy fizetõs tárhelyen nem nagyon lehet gond.(Mint a mienkén) Na,röviden hogy milyen gyengeségek lehetnek és hogy hogyan lehet õket javítani:
- MySql injekciók
Egyszerûen alkalmazod az addslashes() php függvényt a karakterláncon,és nem a rövid változót,hanem a közepes típust használod.($szoveg = $_POST[\'szoveg\']; )
-Hiányos adat ellenörzések
Minden oldalon megvizsgálod a felhasználót és megtudod kicsoda,ha nem kívánt személy akkor kidobod,ha egy olyan oldalon jár amit nem láthat akkor ott a jó öreg exit() vayg die() függvény.(Szintén php) Ezt még lehetne taglalni,de sok problémát megoldunk ha az \"allow_url_fopen\" a php.ini fájlban 0ra van állítva,ami szinte minden szolgáltatónál igaz.
-Hamis lekérdezések
Ezen azt értem,amikor valaki egy saját php lapján lévõ kódot futat le a te oldaladon,mintha azt egy ottani felhasználó idézte volna elõ,ezt nagyon könnyû ellenõrizni,egyszerûen megnézed,hogy honan származik a lekérés.(Mert erre is van lehetõség)
-Jelszó törõ programok és robotok
Egyszerûen korlátozni kell a max. bejelentkezési lehetõségek számát, aztán megjeleníteni egy ilyen \"írd be ami a képen van\" cucot és probléma megoldva.
-DoS és DDoS
Ezt a szolgáltató megoldja,ha rendes helynél vagy.
-Különleges összezavaró dzsóker karakterek,HTML és php kódok ûrlapokban
Egyszerûen eltávolítjuk õket,van rá megfelelõ függvénye a php-nek.(PHP: htmlspecialchars() )
-Sütik
Egy rosszindulatú felhasználó átírhatja õket,hogy az alkalmazásunk másnak hidje õt,de ezt egy kis fantáziával egyszerûen kivédhetjük,pl. 2 sütit csinálunk,az egyikben a sima értékek,másikban meg a titkosított értéket,így már könnyen ellenõrizhetjük a felhasználót,vagy egyszerûen ne használjunk sütiket.
A $_SERVER tömb
Ki gondolná?De ha ellenõrzésünk alatt tarjuk nem lehet baj,viszont csúnya dolgokat lehet vele csinálni.
E-mail injection
Sok helyen vannak ûrlapok,ahol lehet nekünk üzenetet küldeni.De tényleg csak nekünk?Íme a mail függvény: mail(címzett, téma, szöveg, egyéb headerek, egyéb kapcsolók) mi van,ha valaki a feladó helyére (Egyéb headerek) berak egy másik kulcsszót is,amivel elküldi nekünk pár szár milliószor ugyan azt a levelet?Nem lennénk happyk ugye?Egyszerûen ezt is szûrni kell
Asszem nem hagytam ki semmit,na ha ezeket megcsinálod,akkor kiváncsi lennék hogy minimum 3 diploma nélkül hogyan tör fel valaki bármit is.
