مورد امنیتی مهم

شروع موضوع توسط iranii ‏23 فوریه 2007 در انجمن PHP

  1. iranii

    iranii Registered User

    تاریخ عضویت:
    ‏1 جولای 2005
    نوشته ها:
    512
    تشکر شده:
    27
    دوستان
    من قصد دارم که فایلهای php config خودم رو کدگذاری کنم ممنون میشم در این مورد من رو راهنمایی کنید. یعنی فایلهایی که حاوی اطلاعات دیتابیس برنامه ها هستند.
    میخوام جوری باشه که افرادی که از طریق php shell دسترسی پیدا میکنند نتونن با استفاده از این مورد دیتابیس رو بزنند یا اینکه منتقل کنند. به هر حال نام کاربری گاهی اوقات دست فردی میفته روی سرور که با استفاده از اون میتونه اینکار رو انجام بده.

    ممنون میشم یک یا چند راه قوی رو برای مقابله با این مورد به من معرفی کنید.

    و اینکه راهی برای پیدا کردن اسکریپت های shell که php هستند از روی سرور وجود داره؟
     
  2. خدمات پی پالبازدیدیار - افزایش بازدید سایت و سیگنال های برند
  3. PersianStar

    PersianStar کاربر تازه وارد

    تاریخ عضویت:
    ‏23 فوریه 2007
    نوشته ها:
    4
    تشکر شده:
    0
    در مورد کدگزاری config ها :
    http://www.byterun.com/free-php-encoder.php
    در مورد پیدا کردن php shell ها هم کاره خاصی نمیشه کرد
    اما اگر فولدره 777 نداشته باشید تو سایتتون قطعا کسی هم نمیتونه php shell آپلود کنه
    (اگه فایل php هم داشته باشید که 777 باشه به راحتی میشه توش یه اینکلود گذاشت و ... )
    بعدشم اگر شما بتونید خوب php.ini رو secur کنید میشه راحت جلوی این جوجه هکرا رو گرفت
     
  4. iranii

    iranii Registered User

    تاریخ عضویت:
    ‏1 جولای 2005
    نوشته ها:
    512
    تشکر شده:
    27
    دوست گرامی ممنونم.
    این کدگذاری به نظر شما میتونه ایمن باشه؟
    مسئول سرور رو بعد از تماسی که گرفتم گفتند که Zend Encode روی سرور نصبه آیا این بسیار ایمن تر نیست اگر از روی سرور اینکود با zend encode انجام شود؟

    همچنین تنظیماتی رو هم که گفتید رو شما تنظیم خاصی رو پیشنهاد میکنید؟

    بازم ممنونم.
     
  5. hba

    hba کاربر فعال صفحات داینامیک کاربر فعال

    تاریخ عضویت:
    ‏8 آگوست 2004
    نوشته ها:
    1,511
    تشکر شده:
    1
    محل سکونت:
    تهران-ونک-php-mysql
    بله راه خوبی هست که کد کنید config رو
    ولی امن بودن سرور خیلی مهم تره یکی که دوستمون گفت php.ini یکی در apachE و از همه مهم تر کرنل
    چون به قول شما این جوجه هکر ها که نظر من نیست با داشتن یه شل ساده روی هر سایتی از سرور اگر کرنل سرور خوب امن نباشه کل سرور رو هر کاری میشه کرد
     
  6. alik

    alik کاربر قدیمی پرشین تولز

    تاریخ عضویت:
    ‏23 سپتامبر 2005
    نوشته ها:
    2,146
    تشکر شده:
    1,226
    بنظر من هر کسی باید کار خودشه رو بکنه :)
    برنامه نویس کارخودش رو بکنه و مسئول سرور هم کار خودش رو :)

    درضمن چون هرکسی مسئول کار خودش هست و ممکنه مسئول سرور کار خودش رو درست انجام نده پس بهتره ما یکمی بیشتر احتیاط کنیم :

    php ها را بهتره که با zend انکود کنید و یک لیسانس ساده هم براش بنویسید که امکان کپی اسکریپت نباشه
    database mysql را با الگوریتم های کدگذاری ذخیره کنید تا اطلاعات دیتابیس بدون اسکریپت قابل استفاده نباشه
    تا انجایی که میتوانید اطلاعات مهم را روی سایتتان با استفاده از hash منتقل کنید یا امضا های دیجیتال hash را به تراکنش هاتون اضافه کنید تا امنیت بیشتری را برقرار کنید.


    درضمن برای کسی که قدر این کارهای رو نمیدونه بیخودی زحمت نکشید :)
     
عسل طبیعی و گرده گل ایرانی