Ponturi folositoare pentru a va imbunatati securitatea scripturilor PHP.
- mysql_real_escape_string() – Aceasta functie este foarte folositoare pentru a va apara de atacurile SQL Injection in PHP. Aceasta functie adauga backslashes la caracterele speciale, ca de exemplu (‘, “”,…). Dar, ca sa puteti folosi aceasta functie trebuie sa fiti conectat la baza de date.
- addslashes() – Aceasta functie face lucrul similar pe care il face si mysql_real_escape_string(). Dar aveti grija sa nu folosesti aceasta functie cand “magic_quotes_gpc” este “on” in php.ini. Cand “magic_quotes_gpc” este on in php.ini ghilimelele simple (’) si ghilimelele duble (”) sunt sarite si urmate de backslashes in variabilele GET, POST si COOKIE .
- htmlentities() – Aceasta functie este foarte folositoare pentru inputurile care sunt completate de utilizatori. Aceasta functie converteste caracterele speciale html. Deci cand un utilizator introduce caractere ca “<” aceste il converteste in entitati HTML, deci asa previn SQL injection.
- strip_tags() – Aceasta functie sterge toate tagurile HTML, JavaScript si php din string. Dar poate sa permita si anumite tagurui ca sa poata fi introduse de useri folosindu-se al doilea parametru al functiei. De exemplu,
echo strip_tags(”<script>alert(’test’);</script>”);va afisaalert(’test’);
Cam atatea imi vin acum. Daca mai stiti si voi altele… nu ezitati.
.
Posted in Java, MySQL, PHP, Programare web, Script | 1 Comment »
Dupa cum stiti, formularul pentru logarea pe un site contine inputurile username si password. Mai mult, multi dintre programatori pun cuvantul “username” in interiorul campului username si “********” in campul password ca sa salveze din spatiul ocupat daca ar scrie text in dreptul campurilor. Acum va voi arata cum puteti foarte usor sa scrieti in inputul password cuvantul “password” in loc sa apara “********”.
more »
Posted in Java, PHP, Script, Tips & Tricks | Comments Off on Afisarea textului “password” in inputul de logare
Revenim cu continuare articolului referitor la GlassFish v2. Se pare ca este lume interesata despre acest domeniu, pt ca la nici mai mult de o zi am primit un comentariu legat de acel articol. Deci sa purcedem mai departe. Ce-mi place cuvantul purcede. 🙂
Unul din parametrii profilului developer este Security Store, care identifica nivelul de securitate si cate produse ca certificate si chei pot fi stocate. Pentru profilul developer, valoare pentru Security Store este setata pe JKS. In acest caz, certificatele si cheile pentru server sunt stocate in Javakeystore file (keystore.jks) si certificatele de securitate eliberate de un furnizor (CA) sunt stocate intr-un fisier de certificate (cacerts.jks).
more »
Posted in Java | 3 Comments »
Multe aplicatii business au nevoie sa ruleze intr-un mediu securizat. Transport Layer Security (TLS)/ Secure Socket Layer (SSL) este un mecanism de transport securizat point-to-point, care poate fi folosit la autentificarea schimbului de mesaje intre un client si un server, si pentru a asigura integritatea si confidentialitatea mesajelor. TLS/SSL (sau simplu “SSL”) inseamna cerinta de securitatea pentru majoritatea aplicatiilor business.
Oricum, pentru a participa la schimbul de mesaje securizate prin SSL, serverul trebuie sa fie activat ca un server SSL.
Trebuie sa intelegeti cateva concepte de baza pentru SSL, ca de exemplu chei si certificate, si trebuie sa intelegeti si conceptul aplicatiei GlassFish v2 pentru a putea instala un certificat SSL de tip GlassFish v2.
more »
Posted in Java | 2 Comments »
