• 0 رای - 0 میانگین
  • 1
  • 2
  • 3
  • 4
  • 5
امنیت فریم ورک ها
#1
Question 
سلام دوستان ،خسته نباشید .

بعد از کلی جستجو دیدم بهترین جا برای کمک گرفتن اینجاست و مزاحمتون شدم ، امیدوارم تو این مدت که مهمون شما هستم بتونم مطالب مفیدی از شما یاد بگیرم و در حد توانم به دوستان تازه وارد کمک کنم ( همراهان خودم Heart ) بقیتون که همه استاد مایید Wink

من قصد دارم به سمت فریم ورک ها برم و فعلا codeigniter رو انتخاب کردم و این سوال برام پیش اومد که امنیت فریم ورک ها تو چه حدیه ؟ استفاده از توابع امنیتی خودشون کافیه ؟ یا باید خودمون توابع دیگه ای بنویسیم ؟

تو user guide codeigniter چیزی در این باره ننوشته بود Smile
  پاسخ
تشکر شده توسط :
#2
از نظر امنیت برنامه مثلا sqlinjection خود فریم ورک ها امنیت دارن . البته به شرطی که شما از توابع و قوانین داخلی فریم ورک به درستی استفاده کنید
مثلا در همین codeigniter اگر شما از active record ها استفاده کنین میتونین خیالتون تقریبا راحت باشه
کلا codeigniter انتخاب خیلی خوبی هستش برای شروع .هم سبکه هم یاد گیریش اسونه برای سایتهای سبک و متوسط عالیه. بهت پیشنهاد میکنم یاد گیریش رو زودتر شروع کنی
یه کتاب فارسی هم اقای پهلوان براش نوشتن که تو همین انجمن لینکش هست .
همین دیگه
  پاسخ
تشکر شده توسط : siavash shgninc
#3
راهنماش رو کامل مطالعه کردم و حدودا بلدم باهاش کد بزنم ، فقط دغدغه همین امنیتشه ، این راحتی خیال در حد همون sqlinjection و xss هست دیگه ؟ Rolleyes
  پاسخ
تشکر شده توسط :
#4
بالاخره تو باید کد نویسی رو شروع کنی .نمیشه که بگی چون من میترسم هک بشم اصلا شروع نکنم
الان مثلا تو ci به صورت پیش فرض $_get فعال نیست و شما میتونی از SEGMENT ها استفاده کنی که امنیتش ۱۰۰٪‌
یعنی وقتی شما یک پارامتر رو از طریق مثلا url میفرستی میتونی با استفاده از segment ها اون رو بگیری و عملیات مورد نظر باهاش انجام بدی و امنیت خیلی خوبی هم داره
در مورد query ها هم که گفتم اگه از active record ها استفاده کنی میتونی در مورد injection خیالت راحت باشه
مثلا در مورد سشن ها میتونی از فریم ورک کمک بگیری و سشن ها رو توی دیتا بیس ذخیره کنی
سشن ها رو هم با استفاده از توابع داخلی کد کنی و هر جا که نیاز داشتی باز کنی و ازش استفاده کنی
خلاصه اینکه فلسفه وجود یه فریم ورک اینه که تو خیالت از بابت این مسایل راحت باشه و بتونی برنامه ات رو سریع تر بنویسی
  پاسخ
تشکر شده توسط : siavash molana
#5
(۱۳۸۹ بهمن ۲۷, ۰۳:۲۶ ب.ظ)scooter نوشته: بالاخره تو باید کد نویسی رو شروع کنی .نمیشه که بگی چون من میترسم هک بشم اصلا شروع نکنم
الان مثلا تو ci به صورت پیش فرض $_get فعال نیست و شما میتونی از SEGMENT ها استفاده کنی که امنیتش ۱۰۰٪‌
یعنی وقتی شما یک پارامتر رو از طریق مثلا url میفرستی میتونی با استفاده از segment ها اون رو بگیری و عملیات مورد نظر باهاش انجام بدی و امنیت خیلی خوبی هم داره
در مورد query ها هم که گفتم اگه از active record ها استفاده کنی میتونی در مورد injection خیالت راحت باشه
مثلا در مورد سشن ها میتونی از فریم ورک کمک بگیری و سشن ها رو توی دیتا بیس ذخیره کنی
سشن ها رو هم با استفاده از توابع داخلی کد کنی و هر جا که نیاز داشتی باز کنی و ازش استفاده کنی
خلاصه اینکه فلسفه وجود یه فریم ورک اینه که تو خیالت از بابت این مسایل راحت باشه و بتونی برنامه ات رو سریع تر بنویسی

segment ربطی به امنیت نداره
همون مسائل توی phpsec رو بخونی کفایت می کنه ( البته فعلا)
  پاسخ
تشکر شده توسط : siavash
#6
با اجازه آقا وحید گل
شما اگه قانون FIEO رو رعایت کنی میتونی تا حدود زیادی خیالت راحت باشه که سایتی که داری مینویسی امنه.
مطمنا استفاده از توابع امنیتی فریم وورکها خیلی میتونه مفید باشه و فکر نمی کنم نیازی به کار خاص دیگه ای باشه.

فقط اینو همیشه یادت باشه
Filter input-escape output
  پاسخ
تشکر شده توسط : siavash admin molana
#7
escape کردن خروجی چه فاییده ای داره ؟ Huh
  پاسخ
تشکر شده توسط :
#8
(۱۳۸۹ بهمن ۲۸, ۰۱:۱۷ ق.ظ)siavash نوشته: escape کردن خروجی چه فاییده ای داره ؟ Huh

بسم الله الرحمن الرحیم
سلام
اگه اشتباه نکنم با حملات XSS ممکنه روبروشید / ( کاربرها رو مورد حمله قرار می ده )
  پاسخ
تشکر شده توسط : siavash
#9
خوب وقتی ورودی درست فیلتر بشه فکر نکنم نیازی به escape کردن خروجی باشه !؟ اینطور نیست ؟ Huh
  پاسخ
تشکر شده توسط :
#10
درسته
اما این در صورتی هست که کاملا به ورودیت مطمئن باشی. و اطمینان داشته باشی که همیشه ورودها از یه جا میاد پس بهتره خروجی رو هم اسکیپت کنی
ناصر جان خیلی ممنون
  پاسخ
تشکر شده توسط : siavash Na3r


پرش به انجمن:


کاربران در حال بازدید این موضوع: 1 مهمان