GrozMaster > HTML, Хакерство > Простейшие способы защитить сайт от взлома. Создание форм. Распечатать

Простейшие способы защитить сайт от взлома. Создание форм.


5 сентября 2009. Разместил: GrozMaster

Данная статья предназначена начинающим веб-мастерам, которые пишут на php и хотели бы защитить сайт от взлома хакерами. Сразу стоит отметить, что 100% защиты не существует. Т.е. есть один единственный способ, который гарантирует на 100% то, что Ваш сайт никогда не будет взломан и это будет не под силу ни одному, даже самому умному хакеру - это не иметь сайта вообще!

Это ни в коем случае не полное руководство, а только некоторые основные правила, которые, как минимум, осложнят работу злоумышленника.

Итак.
Если у Вас на сайте имеется какая либо форма для заполнения и передачи данных из этой формы в дальнейшее применение, то имейте в виду - две из них представляют большую возможность ввести на странице вредоносный код для доступа к Вашей базе данных или просто к файлам. Эти формы - input и textarea.

Если во второй (textarea) никаких ограничений поставить нельзя, то в первой (input) просто необходимо предусмотреть (читай использовать) один параметр. Этот параметр именуется как maxlength. Значение этого параметра ни что иное как максимальное количество вводимых символов с поле формы. Например,
<input tipe="text" name="login" value="admin" size="20" maxlength="12">

Ниже представлено текстовое поле именно с этим параметром. Попробуйте напечатать в нем какое-то количество символов (больше 12-и):
Логин:

Думаю, применение данного параметра Вам понятно. Здесь можно ввести не больше 12 символов. А в такое количество трудновато вместить какой-либо код, который может произвести вредоносные действия.

Поэтому старайтесь не забывать вписывать maxlength во всех формах input. Максимальное количество символов выбирайте на свое усмотрение. Например, для имени, фамилии, отчества вполне достаточно по 20 символов. Для логина - от 8 до 16. Можно, конечно больше, но есть ли в этом смысл? Правда, если в качестве логина используется E-mail (впрочем, как и для самого E-mail), лучше ограничиться до 60 символов. Адреса бывают достаточно длинными. grozmaster@nsk-info.ru, например 22 символа. А это не самый длинный адрес. Бывают и подлиннее. Под пароль можно так же отвести 20-30 символов. Конечно, если в аккаунте посетителя может содержаться секретная информация, то под пароль лучше отвести символов 50-60 или вообще 120.

Что касается формы input, вроде понятно. Как же обезопасить свой сайт, при использовании формы textarea? В чистом html этого сделать не получится. А вот при обработке полученных данных из этой формы можно использовать некоторые приемы для всех полей. Но... об этом я расскажу в следующей статье "Простейшие способы защитить сайт от взлома. Обработка форм"

Вернуться назад Распечатать