نمایش نتایج 1 تا 14 از 14

نام تاپیک: ایجاد کد یکبار مصرف در هر فرم و مطابقت با صحت کد در سمت سرور PHP و ثبت فرم در صورت صحیح بودن کد

Hybrid View

پست قبلی پست قبلی   پست بعدی پست بعدی
  1. #1

    نقل قول: ایجاد کد یکبار مصرف در هر فرم و مطابقت با صحت کد در سمت سرور PHP و ثبت فرم در صورت صحیح بود

    سلام

    فقط من یک نکته را اضافه کنم که هدف از csrf token جلوگیری از ارسال اسپم توسط ربات ها نیست. به راحتی میشه یک ربات نوشت که اول توکن را از سایت شما بگیره و بعد درخواست های خود را ارسال کند.

    فرض کنید من میدونم که شما مدیر سایت برنامه نویس هستید خوب معمولا شما به سایت تان لاگین کرده اید. از طرفی میدونم که آدرس حذف یک کاربر
    http://yourdomain.com/user.php?del=25
    است بنابراین کافیه یه ایمیل برای شما بفرستم که توش یه عکس با آدرس لینک بالا باشه. (روشهای دیگری هم هست) تا کاربر مورد نظر بدون اینکه شما متوجه شوید پاک شود.

    اما اگر آدرس حذف کاربر باشه
    http://yourdomain.com/user.php?del=25&token=somethindrandom
    چون هکر به توکن دسترسی نداره نمیتونه از این روش استفاده کنه.

    حتما مقاله php security را مطالعه کنید. تا تمامی نکات مقابله با حملات شناخته شده را در برنامه خود لحاظ کنید.

  2. #2

    نقل قول: ایجاد کد یکبار مصرف در هر فرم و مطابقت با صحت کد در سمت سرور PHP و ثبت فرم در صورت صحیح بود

    سلام
    ali_sed ممنونم بابت توضیحات شما

    در راستای افزایش امنیت هیچ آدرس مستقیمی برای insert و delete و حتی update در کل پروژه تعریف نکردم و تنها با متد post و اتصال به صفحات مربوطه به این متدها و عملیات ها دسترسی داده شده و بجز چند مورد بسیار جزئی (مثل شماره صفحه و موارد مشابه جهت نمایش مطالب) از get استفاده نشده در پروژه

    نقل قول نوشته شده توسط ali_sed مشاهده تاپیک
    حتما مقاله php security را مطالعه کنید. تا تمامی نکات مقابله با حملات شناخته شده را در برنامه خود لحاظ کنید.
    امکانش هست لینک مقاله را ارسال بفرمایید

  3. #3

    نقل قول: ایجاد کد یکبار مصرف در هر فرم و مطابقت با صحت کد در سمت سرور PHP و ثبت فرم در صورت صحیح بود

    نقل قول نوشته شده توسط hgfhjgjh مشاهده تاپیک
    در راستای افزایش امنیت هیچ آدرس مستقیمی برای insert و delete و حتی update در کل پروژه تعریف نکردم و تنها با متد post و اتصال به صفحات مربوطه به این متدها و عملیات ها دسترسی داده شده و بجز چند مورد بسیار جزئی (مثل شماره صفحه و موارد مشابه جهت نمایش مطالب) از get استفاده نشده در پروژه
    روشی که در بالا گفتم تنها یک مثال بود ممکن است ریکوئست ناخواسته توسط مهاجم حتی با متد پست به طرق دیگری ارسال شود. مثلا در یک سایتی که معمولا سر میزنید اینجکت شود. یا داخل یک صفحه وب با جاوااسکریپت پیاده شده باشد و لینک این صفحه را برای شما ایمیل کنند و شما لینک را باز کنید. بنابراین به صرف استفاده از متد پست از توکن گذر نکنید. حتما در تمامی صفحاتی که حذف یا ویرایش در اطلاعات رخ میدهد از توکن استفاده کنید.


    نقل قول نوشته شده توسط hgfhjgjh مشاهده تاپیک
    امکانش هست لینک مقاله را ارسال بفرمایید
    مقاله ای که مد نظرم بود را پیدا نکردم:

    ولی این دو مطلب بسیار مفید هستند:
    در این مقاله بسیار خلاصه موارد مهم را اشاره کرده است:
    https://www.sitepoint.com/8-practice...-your-web-app/

    و در این مطلب نیز نکات مهم امنیتی در php آورده شده است.
    https://www.php.net/manual/en/security.php

    من حملات brute-force را ندیدم در این دو مقاله در مورد آن نیز مطالعه کنید.

    فارسی هم اگر دوست دارید می توانید جستجو کنید مطالب خوبی پیدا خواهید کرد مثلا:
    https://daskhat.ir/tag/نکات-امنیتی-در-php/

تاپیک های مشابه

  1. پاسخ: 2
    آخرین پست: چهارشنبه 03 شهریور 1395, 23:27 عصر
  2. پاسخ: 0
    آخرین پست: جمعه 18 اردیبهشت 1394, 12:36 عصر
  3. پاسخ: 1
    آخرین پست: پنج شنبه 04 دی 1393, 01:43 صبح
  4. پاسخ: 5
    آخرین پست: چهارشنبه 06 دی 1391, 19:17 عصر
  5. سوال: روش بازیابی فایل ویدیویی به صورت فریم به فریم به چه صورتی است؟
    نوشته شده توسط Sahari_65 در بخش برنامه نویسی در 6 VB
    پاسخ: 0
    آخرین پست: دوشنبه 03 فروردین 1388, 18:37 عصر

قوانین ایجاد تاپیک در تالار

  • شما نمی توانید تاپیک جدید ایجاد کنید
  • شما نمی توانید به تاپیک ها پاسخ دهید
  • شما نمی توانید ضمیمه ارسال کنید
  • شما نمی توانید پاسخ هایتان را ویرایش کنید
  •