Sfat banal pentru securitatea aplicațiilor web
16 Mar 2008[Îl dă][1] un prieten, pe noul său blog.
[1]: http://www.mihaibrehar.ro/blog/un-sfat-banal-pentru-securitatea-aplicatiilor-web.html “”
Pe scurt, este vorba de a avea mai mulți useri pe baza de date, cu drepturi diferite și reduse la minim ca să funcționeze OK. De exemplu, un user pentru admin panel (cu drepturi depline) și alt user pentru partea publică a site-ului (limitat doar la drepturile de care chiar are nevoie).
Pare evident să faci așa, iar atunci de ce nu am făcut-o până acum (vorbesc de mine)?
Păăăi, în primul rând, din lene. :) )
:)
Glumeam…
Nu, pur și simplu nu cred că e o soluție foarte practică, în multe cazuri. Sigur, la site-uri simple la care în partea publică e nevoie doar de SELECT și, poate, INSERT, să zicem că ar merge așa ceva. Dar deja când ai un sistem de useri, cu profile, atunci ai nevoie și de UPDATE și DELETE. Iar toată ideea de useri diferiți se bazează pe restricționarea acestor instrucțiuni SQL, nu?
Problema sql injection trebuie rezolvată la sursă și anume la input-ul acceptat de la utilizatori, fie el printr-un formular, URL sau XSS. Un site securizat nu ar trebui să permită nici unui cod malicios să treacă de procesul de filtrare și validare.
Așa, pe scurt, tu ce metode de securizare folosești?