proteggere le pagine internet

[iacoposk8]

ciao a tutti!!!
mi sto interessando ora alla protezione delle pagine web.
ho una domanda:
se io filtro tutti i dati dei post con l'htmlentities o mysql_real_escape_string io sono tranquillo che la pagina è protatta, o rischio altre minacce?? e se si, quali?

tenendo conto che la pagina php è in relazione con un db mysql e che ho già messo il controllo su ogni pagina per vedere se l'utente è loggato ecc...

 

[alessandro1997]

I sistemi che hai adottato offrono una buona protezione di base, ma nell'ambito dello sviluppo Web ci sono mille accortezze da tenere. Ti posso consigliare questa guida che illustra alcuni sistemi per rendere le proprie applicazioni più sicure: http://php.html.it/guide/leggi/121/guida-sicurezza-di-php/

 

[iacoposk8]

ok!!! grazie mille!!
se seguo quella guida poi sono a posto, anche se ho pagine con dei database?

 

[alessandro1997]

Ripeto, non sei mai a posto. L'unico computer sicuro è un computer spento
Un malintenzionato (dipende da quanto è bravo) troverà sempre il modo di penetrare nel tuo software (detto così suona male, eh ). Però diciamo che con quella guida dovresti raggiungere un buon livello di sicurezza.

 

[iacoposk8]

ok, grazie

 

[borgo italia]

ciao

L'unico computer sicuro è un computer spento

e se te lo fregano? (facile per i portatili lasciati in macchina).
bando agli scherzi, oltre a quello che ha detto l'infiltrato alex dai un occhio sul manuale php a filter_var trovi diversi sistemi per validare o sanificare i get e i post...
se cerchi filter_var nelle pagine precedenti vedi altri filtri interessanti

 

[alessandro1997]

Comunque ho notato una cosa. Usando FILTER_VALIDATE_EMAIL mi restituisce un indirizzo valido anche per pinco@pallino (senza inserire il punto seguito dal dominio di primo livello). È assurdo!

 

[borgo italia]

ciao
ma sei proprio sicuro? non è per caso come clear_adress()?
nel form che mi sono fatto io pinco@pallino non passa, o hai una versione tua di php?
ma forse è perchè prima del validate uso il sanitize

p.s.
leggi qust'INTERESSANTISSIMO articolo
http://blog.mrwebmaster.it/2010/03/21/validare-email-php5.html

 

[alessandro1997]

Aspetta, faccio qualche prova e vi faccio sapere. Sì, io ho PHP 91.0-alessandro1997, sono troppo avanti per voi comuni mortali

EDIT: Appunto, come pensavo. Questo script:

<?php
$email = 'pinco@pallino';
var_dump(filter_var($email, FILTER_VALIDATE_EMAIL));
?>

Visualizza:

string(13) "pinco@pallino"

Quindi la validazione passa.

Questo qui:

<?php
$email = 'pinco@pallino';
$email = filter_var($email, FILTER_SANITIZE_EMAIL);
var_dump(filter_var($email, FILTER_VALIDATE_EMAIL));
?>

Pure funziona. Mi sfugge qualcosa?

 

[borgo italia]

ciao

Sì, io ho PHP 91.0-alessandro1997

i soliti megalomani, anche sponsorizzato (chissà quanto paghi)

cosa vuoi dire con:

Pure funziona.

vuoi dire che ti da false? come è giusto

Mi sfugge qualcosa?

perchè stupirsi?

 

[Eliox]

qualcosa su PHP e sicurezza delle applicazioni l'abbiamo anche su questo sito

 

[alessandro1997]

No, mi restituisce l'e-mail, quindi vuol dire che non ci trova nessun errore. Prova tu stesso il mio script...

 

[borgo italia]

ciao

quindi vuol dire che non ci trova nessun errore.

pensa che forse stai sbagliando qualcosa

parte sopra il form prima dell'invio, sotto dopo l'invio (l'email non viene inviata)

 

[alessandro1997]

Assurdo... prova tu il mio script e dimmi se funziona!

 

[borgo italia]

ciao
fatto

<?php
$email = 'pinco@pallino';
var_dump(filter_var($email, FILTER_VALIDATE_EMAIL));
?> 

<?php
$email = 'pinco@pallino';
$email = filter_var($email, FILTER_SANITIZE_EMAIL);
var_dump(filter_var($email, FILTER_VALIDATE_EMAIL));
?>

bool(false) bool(false)

ti hanno imbrogliato, restituisci il tuo php sponsorizzato

 

[alessandro1997]

Giuro che adesso mando una mail agli sviluppatori chiedendo spiegazioni. Forse ho una versione di PHP bacata. Mah... calcola che a me lo stesso identico script restituisce:

string(13) "pinco@pallino" string(13) "pinco@pallino"

Misteri della tecnologia

EDIT: Il controllo passa anche su Altervista e Netsons. Ma che PHP ce l'ha con me?

 

[borgo italia]

ciao
piccolo dubbio: invece di vantarti che hai un php sponsorizzato, verifica che versione di php hai installata

dimenticaco: filter funzia da php 5 in poi

 

[alessandro1997]

Beh, sì, ma comunque se fosse una versione inferiore alla 5 mi darebbe un errore di "undefined function", ho già provato.

 

[borgo italia]

ciao alex,
a tua perenne ignominia

<?php
$email = 'pinco@pallino';
var_dump(filter_var($email, FILTER_VALIDATE_EMAIL));
?> 

<?php
$email = 'pinco@pallino';
$email = filter_var($email, FILTER_SANITIZE_EMAIL);
var_dump(filter_var($email, FILTER_VALIDATE_EMAIL));
?> 

<?php
$email = 'pinco@pallino . it';
var_dump(filter_var($email, FILTER_VALIDATE_EMAIL));
?> 

<?php
$email = 'pinco@pallino . it';
$email = filter_var($email, FILTER_SANITIZE_EMAIL);
var_dump(filter_var($email, FILTER_VALIDATE_EMAIL));
?>

[

bool(false) bool(false) bool(false) string(16) "[email protected]"

nota lo spazio prima e dopo il punto
ogni commento è superfluo

 

[iacoposk8]

ho finito di leggere la guida.
ho alcune domande:
1) una conferma, per evitare che un cracker si impossessi di username e password tramite sessioni devo cambiare spesso l'id del file sessione con: session_regenerate_id() giusto? spacciarsi per qualcun altro
2) per far si che il cracker non faccia il download di file protetti, si deve mettere un file .htaccess contenente

<Files ~ ".+">
Order allow,deny
Deny from all
Satisfy All
</Files>

ma poi anche gli utenti registrati non potranno accedere ai file, come posso ovviare al problema? evitare il download diretto dei file dati
3) l'ultima cosa, ho visto che c'è pericolo di attacco pure nelle immagini, ma non ho capito come difendermi, mi sapete aiutare?? cross site request forgeries