Форум PHP

Подскажите, где взять инфу (чтоб для совсем тупых) и соответствующие проги (если таковы вообще нужны) по защите сайта от хакеров, сниферов (если не ошибаюсь) и прочего.
Интересует всё, начиная от основ.

А у вас есть собственный сервер, который вы хотите защитить? Тогда вопрос нужно ставить про защиту сетей.

Или вы хотите защитить свой сайт на внешнем хостинге?
Тут врядли что серьезно можно сделать. Это определяется защитой сервера, куда пользователям доступа нет. Главное что может и должен делать пользователь - не создавать своих собственных дыр :)

Так вы про какую защиту?

>Главное что может и должен делать пользователь - не создавать своих собственных дыр :)

Я хотел бы узнать по подробнее об так говоримых дыр

Систематических ресурсов посвящённых проблемам безопасности PHP я не видел, хотя специально не искал :))) Ляп сделать очень просто, рецепты как мне кажется сильно не спасут - это как в Английском, отдельные слова заучивать бесполезно - нужно знать грамматику и чувствовать язык. Поэтому лучшее противоядие - глубокое знание PHP (Perl), UNIX и сетевых протоколов.

http://www.softtime.ru/forum/read.php?id_forum=1&id_theme=391&page=3

если говорить о защите то надо тестировать скрипты по самое нихочу!
но более менее можно защитить свой код можно тока Zend Encoder-ром
он кодирует ваш код и 100 % раскодировщика не существует,но вот у меня он есть а так не захотят его покупать так как новички не имеют денег его приобрести

А чо бесплатно найти нелзя?
Кодировать код и не делать дур мне кажеца точто это совсем дгукое ?!

>Кодировать код и не делать дур мне кажеца точто это совсем дгукое ?!
Адоп Акробат, ну перечитывайте Вы что пишете... Совершенно нельзя Вас понять. :(
Каких дур не надо делать? Причем они здесь?

Окей больше такое не повторица

Я хочу защитить свой сайт на внешнем хостинге.
Каких то там секретных данных у меня нет, но неприятно будет, если какой нибуть весельчак будет строить разные подлянки.
Про дырки, а на чём можно потестировать на предмет этих самых дыр?

Сервер будет скорее всего очень здорово защищён хост-компанией (вы за это и платите деньги, чтобы не думать о дырах в серверном ПО), а формализовать дыры Web-сайта достаточно сложно, если честно даже не представляю как можно написать такое ПО... Обычно перед пуском сайта приглашают людей с богатым воображением, которые пытаются ломать сайт и сразу сообщают обо всех найденных недостатках - полностью от дыр избавиться нельзя - их следует локализовывать во время эксплуатации, при этом желательно самому быть активным посетителем своемго сайта - вероятность найти дыру резко возрастает. Особенно следует уделять внимание всем действиям пользователей:
1) ввод текста в поля формы;
2) загрузка посетителем файлов - это следует контролировать очень жёстко, так как если посетитель протащит на сайт PHP или Perl-скрипт - сделать он сможет всё что угодно, от воровства паролей, до полного уничтожения виртуального хоста.
3) URL - не приводит ли подстановка неожиданных значений в параметрах URL к каким-то неадекватным действиям.

PS Следует дружелюбно относится к своим посетителям - они отплатят добром и сообщат о найденых недочётах в безопасности.

Спасибо за дружеский совет.
P.S. Когда, наконец, выйдет Ваша книга?

Скорее всего в декабре.

Я может пропстил а очом будет книга?

Так все про то же. Про PHP :)

Попытаюсь рассказать вкратце.
Книга называется "PHP 5. Разработка многофункционального Web-сайта". Это логическое продолжение нашей первой книги, поэтому то, что было в первой книге во второй не повторяется, т.е. эта книга подразумевает некоторое знакомство с языком PHP. Выходить она будет в серии "Профессиональное программирование". Объем - около 1000 стр., состоит из 5 частей. Половина книги (2 части) посвящена разработке программных блоков "корпоративного" Web-сайта. Рассматривается разработка каталога продукции, системы администрирования контента, системы рассылки и т.д. В общем - практически всего, что можно придумать на серьезном Web-сайте. Отдельная часть книги посвящена разработке форума. Первая часть - как-бы вводная и в ней подробно рассматриваются различные вопросы: работа с MySQL, вопросы безопасности, всякие "тонкие" штучки (одна глава так и называется "Тонкости" PHP"), работа с HTTP-заголовками. А в 5 части рассматриваются расширения PHP: библиотека для работы с графикой GD, библиотека Ming для работы с Flash и библиотека для работы с PDF-документами. Вот если вкратце, то так.

Сами ждем :) Материалы направлены в редакцию - сейчас будет этап корректуры, и с момента ее окончания где-то полтора месяца до выхода книги. Т.е. получается конец декабря - январь. А так как в январе полмесяца все празднуют новый год, то, вероятнее всего, в конце января.

Демонстрацией дыры третьего типа может служить брешь, найденная на этом форуме s1271tvg, позволяющая отвечать в закрытых темах, указывая в URL id_post сообщения, на который необходимо ответить, а вместо id_theme закрытой темы id_theme любой открытой.
Чем сложнее будет Web-приложение, и чем больше будет в нём ограничений и условий, тем больше таких дыр будет оставаться незамеченными.

http://www.softtime.ru/forum/read.php?id_forum=3&id_theme=476&page=1