| |
|
|
| | Возможно вопрос мой слишком пространный, обширный, но прошу всех, кто пробовал создавать CMS (content managment system) поделиться опытом, как мне избежать ошибок, полезные приемы.
Хотелось бы, чтобы можно его изменять легко, чтобы он не был сложным... | |
| |
|
|
| |
|
|
| |
для: fxsektor
(14.06.2007 в 16:32)
| | | > как мне избежать ошибок, полезные приемы.
Набирайтесь бесценного опыта, читайте книги, Посмотрите коды уже реализованных вариантов... А вообще вопрос слишком широкий, У создателей этого форума есть рукописный труд под названием "PHP5 Правктика создания Веб-сайтов" - для начала самое то.... | |
| |
|
|
| |
|
|
| |
для: fxsektor
(14.06.2007 в 16:32)
| | | CMS - это не стандартное приложение и может принимать самые разнообразные формы, в первую очередь вы должны сами себе ответить, что вы от него ожидаете? | |
| |
|
|
| |
|
|
| |
для: cheops
(15.06.2007 в 09:41)
| | | Для этого цмс нужно:
Страницы целиком должны лежать в базе отформатированными в html в базе данных + название + ключевые слова;
Независимые стили оформления;
Возможность создания блоков (вертикальных и горизонтальных) и размещение их в любом месте на сайте и страницах.
+Возможность добавления модулей.
Все существующие CMS не подходят по этим параметрам. :(
Т.е. это получается основа для дизайнера, когда он сможет сделать сайт без программиста. | |
| |
|
|
| |
|
|
| |
для: fxsektor
(14.06.2007 в 16:32)
| | | Самый главный вопрос, который меня интересует - как сделать CMS - который нельзя взломать: украсть пароли, стереть базу и файлы с хостинга, заменить содержимое. Вопрос безопасности!
Я правильно понимаю что взлом можно осуществить ТОЛЬКО через ФОРМЫ и адресную строку? | |
| |
|
|
| |
|
|
| |
для: fxsektor
(15.06.2007 в 13:50)
| | | "CMS - который нельзя взломать" такую сделать нельзя ... просто старайтесь проверять все что юзер вам отправляет, храните пароли в закрытом виде и т.п.
сломать можно все ... вопрос в том сколько времени на это потребуется и затраченных ресурсов | |
| |
|
|
| |
|
|
| |
для: CrazyAngel
(15.06.2007 в 14:06)
| | | сломать можно все
Вы судите по своему горькому опыту что ли? | |
| |
|
|
| |
|
|
| |
для: CrazyAngel
(15.06.2007 в 14:06)
| | | если топор считать ресурсом - тогда, конечно. | |
| |
|
|
| |
|
|
| |
для: fxsektor
(15.06.2007 в 13:50)
| | | > как сделать CMS - который нельзя взломать
Никак.
> Я правильно понимаю?
Нет, не правильно) | |
| |
|
|
| |
|
|
| |
для: fxsektor
(15.06.2007 в 13:50)
| | | Кто может сбацать простейшую, с точки зрения реализации и функционала, гостевую книгу, претендующую на невзломаемость? | |
| |
|
|
| |
|
|
| |
для: fxsektor
(15.06.2007 в 15:39)
| | | Дело может быть и не в самой гостевой... вот, например, залить тебе шелл и непробиваемая гостевая тут уже не поможет :) | |
| |
|
|
| |
|
|
| |
для: golovdinov
(15.06.2007 в 18:05)
| | | если гостевая позволяет залить через нее шелл разве что администратору сервера - это непробиваемая гостевая.
Иначе в рассматриваемом контексте шелл от топора мало чем отличается. | |
| |
|
|
| |
|
|
| |
для: Trianon
(15.06.2007 в 18:16)
| | | Я лишь хотел указать на то, что если нет дыр в гостевой, то с сайтом не обязательно все будет хорошо. | |
| |
|
|
| |
|
|
| |
для: golovdinov
(15.06.2007 в 20:25)
| | | >Я лишь хотел указать на то, что если нет дыр в гостевой, то с сайтом не обязательно все будет хорошо.
И какие методы решения указанной Вами проблемы Вы предлагаете? | |
| |
|
|
| |
|
|
| |
для: golovdinov
(15.06.2007 в 20:25)
| | | Я слышал про SQL инъекции - как от них защититься? | |
| |
|
|
| |
|
|
| |
для: fxsektor
(18.06.2007 в 17:43)
| | | Не допускать формирования операторов SQL-кода непосредственно из входных параметров скрипта.
Корректно формировать литеральные константы. (mysql_escape_string())
Передавать соответствующие числовые параметры через приведение к числовому типу.($id_int = intval($id_str))
Опять же см. задачи 11 и 21 одноименного раздела
http://softtime.ru/forum/read.php?id_forum=7&id_theme=14039
http://softtime.ru/forum/read.php?id_forum=7&id_theme=37909 | |
| |
|
|
| |
|
|
| |
для: Trianon
(15.06.2007 в 18:16)
| | | "Залить шел" это запустить скрипт? Если да, то как от этого можно подстраховаться? | |
| |
|
|
| |
|
|
| |
для: fxsektor
(18.06.2007 в 09:17)
| | | Тщательно контролировать файлы, которые загружает пользователь на сервер, лучше в директорию в такими файлами поместить конфигурационный файл .htaccess следующего содержания
RemoveHandler .php .phtml .pl
AddType text/html .php .phtm .htm .html .phtml .pl
|
| |
| |
|
|
| |
|
|
| |
для: cheops
(18.06.2007 в 11:01)
| | | Файлы, которые загружает пользователь на сервер, ни при каких обстоятельствах не должны быть видны через apache извне, поскольку это позволит атаки через SSI и XSS.
Так что AddType text/html .php .phtm .htm .html .phtml .pl здесь, на мой взгляд, неуместна.
RemoveHandler .php .phtml .pl
order deny,allow
deny from all
|
(2-я стока нужна, если ниже следует список администрирующих хостов, откуда доступ все же разрешен. Если таких нет - строку order можно убрать)
А кроме того надо не забыть закрыть доступ к самому .htaccess, запретив запись в него. chmod 444 | |
| |
|
|
| |
|
|
| |
для: Trianon
(18.06.2007 в 11:40)
| | | >Файлы, которые загружает пользователь на сервер, ни при каких обстоятельствах не должны
>быть видны через apache
Аттачи на форуме запретить? :))) Файлы не для того загружаются, чтобы их никто не видел. | |
| |
|
|
| |
|
|
| |
для: cheops
(18.06.2007 в 11:56)
| | | Игорь, можно подумать, Вы на форуме выдаете аттачи с заголовком Content-Type: text/html
Ну ведь нет же? | |
| |
|
|
| |
|
|
| |
для: Trianon
(18.06.2007 в 12:01)
| | | Для файлов .php .phtm .phtml, если де случайно окажутся в директории files не Content-Type: application/x-httpd-php же выдавать :)))? | |
| |
|
|
| |
|
|
| |
для: cheops
(18.06.2007 в 12:08)
| | | нет, конечно.
application/octet-stream
application/force-download
text/plain на худой конец (худой - потому как старый ie их всё еще html-рендерит) | |
| |
|
|
| |
|
|
| |
для: Trianon
(18.06.2007 в 12:16)
| | | Да, надо на text/plain заменить - всё-таки информация для просмотра. | |
| |
|
|
| |
|
|
| |
для: cheops
(18.06.2007 в 16:41)
| | | а каким же должен быть файл .htaccess
? | |
| |
|
|
| |
|
|
| |
для: fxsektor
(19.06.2007 в 11:32)
| | |
RemoveHandler .php .phtml .pl
AddType text/plain .php .phtm .htm .html .phtml .pl
|
| |
| |
|
|
