Безопасность(php+mysql+apache+библиотеки)

Предлагаю тут разработать концепцию защиты веб-приложений от всевозможных нападений со стороны хакеров, либо со стороны случайных пользовательских ошибок(либо самого скрипта). Понимаю, что все свои секреты хранят при себе, но тем не менее для развития качества российских разработок я считаю это нужным. Есть множество ресурсов по безопасности где рассказывается об общих принципах.. но этого мало... Детальное описание всех нюансов приведет лишь... к обмену опытом и как следствие к повышению квалификации российских разработчиков и улучшению доверия к ним, а соответственно и спроса на российском рынке веб-разработок. Готов выслушать критику с любой стороны...

Напишу несколько фраз для размышления...
1. Ядро и функциональность приложения должно основываться на классах и функциях с разграничением доступа к ним.
2. Обязательная фильтрация данных вводимых пользователем или используемых скриптом.
3. Многоуровневая защита приложения.
4. Качественная насторойка обеспечивающих программ.
5. Данные передаваемые через браузер должны быть легко отсеиваемыми и поддающимися проверке.
Дальше больше...

Три просмотра и ноль реакции...

Для этого есть специлизированные форумы.
То что вы написали помойму и так интуитивно-понятно.

Не проще здесь обменяться своими секретами и разойтись?

Нет не проще. Разве разработчики меняються своими секретами? Тем более тут.
Ищите специлизированные форумы.

Разработчики делятся своими секретами иногда. Но чувствую на этом форуме это не возможно...

Цитата ("Extasy"):

Для этого есть специлизированные форумы.
То что вы написали помойму и так интуитивно-понятно.

Цитата ("Stear"):

Есть множество ресурсов по безопасности где рассказывается об общих принципах.. но этого мало...

К разработчику (со стороны админа) есть только одно требование - написание кода без "приколов".. sql иньекций к примеру...
И подгонка кода к требованиям системы (правильно настроенный пхп, апачь, сама система, права доступа на папки и т.д.)

Давайте к примеру рассмотрим фильтры данных.
Вот например функция провепки введенного адреса почты.

function checkEmail($email, $with_dns=false)



{



$rc = false;



$known_doms  = "ad|ae|aero|af|ag|ai|al|am|an|ao|aq|ar|arpa|as|at|au|aw|az|ba";



$known_doms .= "|bb|bd|be|bf|bg|bh|bi|biz|bj|bm|bn|bo|br|bs|bt|bv|bw|by|bz|ca";



$known_doms .= "|cc|cd|cf|cg|ch|ci|ck|cl|cm|cn|co|com|coop|cr|cs|cu|cv|cx|cy";



$known_doms .= "|cz|de|dj|dk|dm|do|dz|ec|edu|ee|eg|eh|er|es|et|eu|fi|fj|fk|fm";



$known_doms .= "|fo|fr|ga|gb|gd|ge|gf|gh|gi|gl|gm|gn|gov|gp|gq|gr|gs|gt|gu|gw";



$known_doms .= "|gy|hk|hm|hn|hr|ht|hu|id|ie|il|in|info|int|io|iq|ir|is|it|jm";



$known_doms .= "|jo|jobs|jp|ke|kg|kh|ki|km|kn|kp|kr|kw|ky|kz|la|lb|lc|li|lk|lr|ls";



$known_doms .= "|lt|lu|lv|ly|ma|mc|md|mg|mh|mil|mk|ml|mm|mn|mo|mp|mq|mr|ms|mt";



$known_doms .= "|mu|museum|mv|mw|mx|my|mz|na|name|nc|ne|net|nf|ng|ni|nl|no|np";



$known_doms .= "|nr|nt|nu|nz|om|org|pa|pe|pf|pg|ph|pk|pl|pm|pn|pr|pro|ps|pt|pw";



$known_doms .= "|py|qa|re|ro|ru|rw|sa|sb|sc|sd|se|sg|sh|si|sj|sk|sl|sm|sn|so";



$known_doms .= "|sr|st|su|sv|sy|sz|tc|td|tf|tg|th|tj|tk|tm|tn|to|tp|tr|travel|tt|tv";



$known_doms .= "|tw|tz|ua|ug|uk|um|us|uy|uz|va|vc|ve|vg|vi|vn|vu|wf|ws|ye|yt";



$known_doms .= "|yu|za|zm|zw";



$email = trim($email);



if (preg_match("/^]+@(((]|]-]*])\.)+($known_doms)$|((?|||)\.){3}(?|||))$/i", $email))



{



if (($with_dns) && ($this->os_type(true)!="w"))



{



$host = explode('@', $email);



if( checkdnsrr($host, 'MX') )    $rc = true;



if( checkdnsrr($host, 'A') )     $rc = true;



if( checkdnsrr($host, 'CNAME') ) $rc = true;



}



else



$rc = true;



}



return $rc;



}

А зачем столько кода? Может достаточно просто сравнить шаблон(и то если надо), чтобы исключить случайные ошибки?

Ну напишу я не ***, а ***

Это что-то индийское?

Цитата ("Sir_Michael"):

Это что-то индийское?

определённо

Цитата ("Stear"):

Предлагаю тут разработать концепцию защиты веб-приложений от всевозможных нападений со стороны хакеров, либо со стороны случайных пользовательских ошибок(либо самого скрипта). Понимаю, что все свои секреты хранят при себе, но тем не менее для развития качества российских разработок я считаю это нужным. Есть множество ресурсов по безопасности где рассказывается об общих принципах.. но этого мало... Детальное описание всех нюансов приведет лишь... к обмену опытом и как следствие к повышению квалификации российских разработчиков и улучшению доверия к ним, а соответственно и спроса на российском рынке веб-разработок. Готов выслушать критику с любой стороны...

Очень жаль, хотел поучаствовать в обсуждении, поделиться секретами... но оказалось, к сожалению, что это только для российских программистов. ))

tvv, я не русский, так что шепните об секретах, знания лишними не будут.

Нет тут никаких "секретов", и быть не может.

P.S. функция checkEmail очень подняла настроение, спасибо ))

Stear, вам сайт сломали?

Тема ушла в флуд. Что по теме автора, какие меры безопасности предложите от DDos атак.

Цитата ("ArtPetrov"):

Тема ушла в флуд. Что по теме автора, какие меры безопасности предложите от DDos атак.

Cisco оборудование конечно)

Цитата ("MMM_Corp"):

Цитата ("ArtPetrov"):

Тема ушла в флуд. Что по теме автора, какие меры безопасности предложите от DDos атак.

Cisco оборудование конечно)

хех, а от не больших атак? и через скрипты.