- Samsung Galaxy S25 - végre van kicsi!
- Motorola Edge 50 Pro - több Moto-erő kéne bele
- Google Pixel topik
- Mobilhasználat külföldön
- Huawei Watch GT 6 és GT 6 Pro duplateszt
- Milyen GPS-t vegyek?
- Apple iPhone 17 Pro Max – fennsík
- Android alkalmazások - szoftver kibeszélő topik
- Apple Watch Ultra - első nekifutás
- Homokféreggel is pózolhatna a OnePlus 15
Új hozzászólás Aktív témák
-
ArchElf
addikt
válasz
Odiepapa
#2719
üzenetére
Javaslatok:
- password ne menjen át cleartext-ben a hálózaton, ne legyen cleartextben tárolva az adatbázisban (lehetőleg ne is titkosítva, hanem hash-elve legyen)
- username:password ne legyen eltárolva cookie-ban
- az include könyvtárra ne legyen joga a böngésző usernek
- a php hibaüzeneteket nem jelenítjük meg az oldalon (tipikus hiba adatbázis kezelésnél), menjenek szerver oldali logba, és esetleg dobjon egy mail-t a kód az üzemeltetőnek
- szerveroldalon a kapott adatokat mindig ellenőrizni kell: a kliens azt küld, amit akar, nem szükségszerúen azt, amit várunk
- adatbázis beillesztésnél az SQL injection-re figyelni kell, legegyszerűbb (mint alant is írtam) prepared insert-et használni
- XSS védelem: amennyiben a GET/POST-ban kapott adatokat (azonnal, vagy később) megjelenítjük, figyeljünk oda, hogy véletélenül se jelenítsünk meg olyan HTML kódot, amit nem szeretnénk (legegyszerűbb kivédési mód a htmlspecialchars() használata - letárolás vagy megjelenítés elött)Amennyiben komolyak biztonsági szempontok, akkor a következőkre kell figyelni:
- ne lehessen egy kérést újra elküldeni - a session azonosítóban kel egy (illetve kettő) számláló, amit a szerver (kettö esetében a szerver és a kliens) növel, vagy generáljon a szerver minden letöltéshez új session hash-t
- ha kézikusan készül a session kezelés, akkor a session lejáratra oda kell figyelni
- célszerű titkosításon keresztül üzemelni, de legalább is az azonosítást azon keresztül végezni - bár ezt leginkább a password cleartextben való elküldésének védelmére szokták használni (https - csakis aláírt tanúsítvánnyal)
- ha cookie alapú a session, akkor a cookie ellopásával ne lehessen másik helyról bejelentkezni, lejárt, de kézzel visszatöltött cookie-val ne lehessen bejelentkezniEgyelőre ennyi jutott az eszembe...
AE
Új hozzászólás Aktív témák
- Hobby elektronika
- Microsoft Office és Office 365 topic
- A fociról könnyedén, egy baráti társaságban
- sziku69: Szólánc.
- Fejhallgatós találkozó
- Samsung Galaxy S25 - végre van kicsi!
- Motorola Edge 50 Pro - több Moto-erő kéne bele
- BestBuy topik
- Brogyi: CTEK akkumulátor töltő és másolatai
- Otthoni hálózat és internet megosztás
- További aktív témák...
- Creative Sound BlasterX G6 7.1 USB külső hangkártya
- PS Plus előfizetések kedvező áron
- Felújított laptopok számlával, garanciával! Ingyen Foxpost!
- BESZÁMÍTÁS! 64GB (2x32) Samsung 3200MHz DDR4 memória garanciával hibátlan működéssel
- Eladnád a telefonod? KÉSZPÉNZES OKOSTELEFON FELVÁSÁRLÁS azonnali fizetéssel!
Állásajánlatok
Cég: Laptopműhely Bt.
Város: Budapest
Cég: PCMENTOR SZERVIZ KFT.
Város: Budapest