Securizarea\Criptarea unui website

[detective]

Ce metode de securizare si criptare imi recomandati, tocmai am terminat un site la care lucrez de ff mult timp si este unic, lucru ce atrage multi rauvoitori, si as dori sa iau toate masurile necesare sa il fac cat mai securizat, asa ca va rog spuneti-mi ce metode si tips stiti despre acest lucru, orice.

multumesc anticipat

[rs.local]

poti sa pui te rog un link cu site-ul sau sa imi dai un pm ?

[Agkelos]

Te referi la sursa ? Daca da, foloseste Zend Guard. E comercial, dar daca intr-adevar ai un site respectabil merita sa il protejezi.

[stynky1]

Adevarul e ca zend guard este foarte bun, dar si foarte scump. Dar cum a zis si Agkelos, merita sa il folosesti.

[detective]

Da, am citit despre el, dar inainte de astea, tips-urile de baza, eu chiar nimic nu am facut in privinta asta, site-ul e in php si foloseste mysql, nu e nush ce dar e munca mea proprie de la 0, e un site de anunturi gratuite, l-am facut de la 0 fiind si primul meu site pe care l-am facut.
Am inteles ca exista si prtecti anti MySql Injections sau cum, etc, chiar cele mai banale chestii ma intereseaza.

adresa e anunuturi-arad   dot    ro - deocamdata nu e nimic pe el inca mai am ceva chestii marunte de facut si de corectat

[Agkelos]

Stai putin, tu vrei sa iti protejezi site-ul de atacuri ? Sau sursa de hoti ? Cred ca nu am inteles bine de ce ai nevoie

[detective]

cam ambele, tot ce pot face

[Agkelos]

Pentru SQL Injection, NullByte si XSS verifica daca ai mod_security instalat. Daca e instalat pune urmatoarele in .htaccess:

Cod:

    SecFilterEngine On
    SecFilterCheckURLEncoding On
    SecFilterForceByteRange 1 255
    SecFilter "javascript\://"
    SecFilter "img src=javascript"
    SecFilter "<[[:space:]]*script"
    SecFilter "<(.|\n)+>"
    SecFilter "delete[[:space:]]+from"
    SecFilter "insert[[:space:]]+into"
    SecFilter "select.+from"
    SecFilterDebugLevel 0
    SecFilterDefaultAction "deny,log,status:406"
    SecFilterSelective REMOTE_ADDR "^127.0.0.1$" nolog,allow

[detective]

In phpinfo nu gasesc mod_security, am gazduire de la GoDaddy premium, sa nu fie oare instalat ? Totusi GoDaddy sunt disperati cu securitatea, ma indoiesc sa nu aiba.

phpinfo-ul e mai jos

anunturi-arad  dot ro/engine.php

P.S : Daca voi activa aceast modul + liniile din .htaccess vor trebui modificari la script-urile site-ului ?

[Agkelos]

In mod normal ar trebui sa apara in .htaccess. Modificari in script nu trebuie facute decat foarte rar.

[detective]

Nu am asa ceva in .htaccess ? Ce e de facut ?

[Agkelos]

Sanitizeaza toate variabilele. Foloseste htmlentities() oriunde e cazul si sa nu-ti fie frica sa folosesti expresiile regulate ( ereg_replace() preg_replace() ) cand exista variabile care pot prelua continut nedorit.

[detective]

Eu am un form pe site, din care se preiau datele si se introduc intr-o baza de date, asta as vrea sa-l securizez, sa nu poata utilizatorii sa scrie caractere, ci doar A-Z, a-z, 0-9, banuiesc ca aici intra in misiune acele 2 functii de care imi zici nu ?
O sa incerc cu cateva exemple ce am gasit pe google, dar orice ajutor e bine venit.

Ms din nou

[Agkelos]

Exact. Cu expresiile regulate poti inlocui tot ce nu se potriveste sablonului creat cu orice vrei (caracter, spatiu, sir vid).

[detective]

Ok, astazi ma trezesc cu un mesaj in mail

Cod:

Nume: Astalavista

Mesaj: You\'re RFI vulnerable. Your website can be hacked in five mins.

Am citit despre acest RFI, Remote File Inclusion, si normal sunt ingrijorat de faptul ca am multiple website-uri si as vrea ca sa securizez si impotriva acestor tipuri de atac, si chiar nu am gasit cum si din ce cauza acestea se pot produce.

Sugestii ?

[SkullAds]