php Php Bezpečnost #2 - Tajení Chyb

[FlexFellovic 0]

Pokud poskytujeme návštěvníkům prostředím MySQL chyb nebo PHP chyb informace,

možná si myslíte, že jediná nevýhoda je nevzhledný web. Opak však pravdou.

Pokud poskytnete návštěvníkovi, který je zkušený v hackování,

výpis chyb, může si udělat hacker přehled o vašem webu a tak najít díru.

Mimochodem, této chyby se dopouští i PHP-Fusion, který má na začátku souboru maincore.php řádek, který zařídí výpis všech chyb.:

error_reporting(E_ALL);

 

Možná se divíte, proč to PHP-Fusion tým nezabezpečil a nedal výpis chyb pouze pro administrátory.

Odpověď je myslim si jednoduchá. Pomocí výpisu chyb neumí jen tak někdo hacknout web, ale jde to.

 

 

Pokud si ovšem myslíte, že se někdo ve vašem okolí, kdo by to svedl, zabezpečení je jednoduché.

 

Na konec souboru maincore.php stačí přidat řádek:

if (!iADMIN) {error_reporting(0);}

Poté stačí ještě každou funkci mysql_error() v echu obalit podmínkou:

if (iADMIN) {echo mysql_error();}

 

Upozornění: Z chyb v PHP dovedou web hacknout opravdoví profesionálové a neznamená,

že pokud máte chybu na webu, hackne vám někdo web.

Odhaduji, že tak 95% běžných chyb nic nenapoví ani profesionálovi, a proto je toto opatření opravdu už nad standart.

 

Vytvořeno pro RS Php fusion !

Pokud vy jste chtěli další návod.. napište ohledně čeho.. kouknu na to a napíšu další tut !