سلام دوستان
من یک سایت با YII دارم ولی نمیدونم برای جلوگیری از هک شدن با انواع حملات مثله sql injection,csrf,xss,shell,.... چه تغییراتی باید تو کد های سایت بدم . داخل فریمورک ci برای جلوگیری از این حملات داخل کانفیگ فریمورک میرفتی و برای جلوگیری از هز از حملات مقدار یک آرایه را true میکردی و خوده فریمورک همه کار ها رو انجام میداد.
میخاستم ببین در Yii چگونه است
دوست عزیز من از این صفحه فقط نحوه استفاده از از کامپونت برای جلوگیری از حملات csrf ر فهمیدم ! . اگه میشه اون دوتا دیگر رو توضیح بدهید . در ضمن Yii برای جلوگیری از حملات همین سه روش رو دارد ؟؟
sqlinjection که چون از PDO استفاده میکنه پس حله .
xss هم کافیه وقتی متنی رو چاپ میکنید بصورتecho CHtml::encode($content);چاپ کنید .
csrf هم که فقط کافیه توی تنظیمات ست کنید چک بشه یا خیر خودش خودکار توی فرم ها میسازه .
منظورتون از shell رو نفهمیدم ، اگر منظورتون آپلود شل هست که باید بگم این مساله بیشتر مربوط به برنامه نویس هست .
حملاتی مثل shell مربوط به سرور هستش.
و شما برای جلوگیری از این حملات فایل های آپلودی رو باید چک کنید که PHP نباشه.
اگر سرور تنظیماتش درست نباشه و یک فایل عکس فرستاده شه توش دستورات PHP هم نوشته شده باشه می تونه مشکل به وجود بیاره .
شما خودتون باید تنظیمات رو جوری کنید که فقط فایل های با پسوند PHP قابل اجرا باشن برای سرور برای درخواست و بقیه فایل ها عین HTML به سمت کاربر فرستاده بشه.
برای جلوگیری از آپلود شل مهمترین کار اینه که جلوی پسوندهای چندگانه رو توی اسامی فایلها بگیرین (مثلاً بجز . آخر بقیه رو به - تغییر بدین). مورد بعدی اینکه PHP نباید بصورت mod_php (یعنی ماژول Apache) نصب شده باشه و FastCGI و... توصیه میشن. مورد بعدی هم اینکه Permission اجرا رو از پوشه آپلود بردارین. هیچکدوم از این موارد هم به Yii ربطی نداره.
قوانین ایجاد تاپیک در تالار
پاسخ با نقل قول