Novice
Разработчики Смарти не обошли и проблему безопасности в своем проекте. Под безопасностью здесь конечно подразумевается сфера шаблонов, т.е. мы обезопасиваем использование шаблонов, а не скриптов, которые их вызывают.

А что там вообще надо обезопасивать и как мы можем нарушить безопасность какого-нибудь проекта с помощью шаблонов?

Допустим, я – интегратор. Я участвую в разработке какого-то крупного коммерческого проекта, где используется всеми любимый (и мной в том числе :) ) Smarty. Если я интегратор, мне не обязательно лезть в php-скрипты. Главное – мне нужен доступ к директориям картинок, css-файлов, js-файлов и шаблонов, где я бы мог менять дизайн и т.п.

В шаблонах при отключенной или плохо настроенной безопасности я могу делать три небезопасных действия, начинающихся на букву В:

  • вставлять php-код
  • вызывать любые функции php в условных операторах {if}
  • включать любые шаблонные файлы (из любой директории сервера) в другие шаблоны

Читать далее »

Авг 19, 2008 | Автор : Novice | Нет комментариев

Novice
Я уже много чего написал в своём блоге. Но еще не касался темы безопасности. А это на мой взгляд одна из главных проблем web-программиста. Скрипт не просто должен хорошо работать. Он должен всегда оставаться на нашей стороне, а не на стороне злоумышленников. Естественно об это можно долго говорить, и в рамках этой статьи я не смогу изложить все тонкости данной проблемы. Но старт вы от меня получите.

Существует множество видов атак на web-сайты. И множество способов защиты php. Я решил остановиться на самом простом и мне понятном примере. Защита от спецсимволов.

Читать далее »

Июнь 29, 2008 | Автор : Novice | 5 Комментариев




© 2008 - 2010 i-novice.net | Все права защищены.