piatok 7. januára 2011

Dva nevyhnutné kroky, ako udržať webovú stránku v bezpečí

Ak na webovom serveri ukladáte vstupy od používateľa alebo ich posielate inej stránke, či cez URL adresu, mali by ste vedieť, že sú to ľahko zraniteľné miesta, ktoré môžu hekeri pri svojich útokoch na vašu stránku využiť. Z pohľadu servera môžete bezpečnosť zvýšiť napríklad URLScanom. Ale sú aj opatrenia, na ktoré by ste nemali zabudnúť ani pri programovaní svojej stránky.

Ak už neurobíte nič iné na zvýšenie bezpečnosti, nezabudnite aspoň tieto dve základné praktiky:
  • Zakódujte všetky vstupy od používateľa, ktoré budú uložené cez SQL príkazy do databázy.
  • Zakódujte všetky texty a dáta, ktoré budete dynamicky dopĺňať na stránku alebo do URL adresy.

Väčšina najpopulárnejších dynamických programovacích jazykov obsahuje kódovacie funkcie, napríklad:
  • ASP: Server.HtmlEncode()
  • PHP: htmlentities()

Zároveň obsahujú aj funkcie, ktoré zakódujú obsah URL adresy:
  • ASP: Server.URLEncode()
  • PHP: urlencode();