Эта тема на forum.dklab.ru


Андрей Серов: вопрос про безопасность
Добрый день!

Делаю простенький сайт знакомств (свой движок).
Функции минимальны: личка, добавления в друзья, фотоальбомы и тумбы (посредством GD), поиск анкет.

Я пока начинающий, прошу профессионалов - посоветуйте на что обратить внимание с точки зрения безопасности.
Я уже учитываю:
1) защита от SQL-инъекций (DBSimple, плейсхолдеры).
2) все данные из форм обрабатываю htmlspecialchars.
3) всегда и везде проверяю в начале php-скрипта есть ли право доступа на страницу (храню имя пользователя, пароль и его права доступа
в $_SESSION).

Что еще кроме этих трёх надо обязательно учитывать ??
___________________________________________________________

И еще вопрос, чтобы не создавать новую тему - сколько человек сможет одновременно работать с моим сайтом.
Хостинг будет виртуальный (скорее всего выберу Джино), выделенный сервер взять не могу - на него нет денег.
Тяжелых скриптов и шаблонизаторов не использую - все легкое и самописное.

Тех. данные хостинга:
Лимит использования CPU 10%
Максимальное время выполнения скрипта 30 с
Доступный объем оперативной памяти 128 Мб
MySQL max_user_connections равно 80

Посещаемость буду сам регулировать, т.к. посетители будут только с рекламы, без использования поисковиков.

Заранее спасибо за советы! :-)
Юрий Насретдинов:
При построении систем, устойчивых ко взлому, нужно руководствоваться прежде всего здравым смыслом и считать все данные, поступающие от пользователя, "грязными".

О количестве пользователей сказать что-либо сложно. При грамотном проектировании даже на виртуальном хостинге можно легко содержать тысячи уникальных посетителей в сутки.
zg:
Что еще кроме этих трёх надо обязательно учитывать ?? что ты всегда думаешь однобоко. Если по делу, то обязательно надо учитывать локаль и магические кавычки.

Тяжелых скриптов и шаблонизаторов не использую - все легкое и самописное. самописанное не значит лёгкое -)
Ivan1986:
Если не писать особо криво то очень порядочно человек может работать

Симпла это понятно

Не все данные из форм, а все данные которые выводятся на страницу - они могут быть не только из форм, а например еще и с урлов

Почему проверять нужно в начале скрипта?
В начале скрипта должна идти инициализация движка.
Вообще я бы посоветовал вам использовать фреймворк. Не тяжелый, из легких знаю кодеигнайтер и самый легкий который я знаю - QuickFramework (sourceforge.net/projects/quickfw/)

Эта тема на forum.dklab.ru