Návrh a tvorba WWW Cvičení 7 PHP & Oracle - Bezpečnost
Hesla v DB Hashování hesel se prování pomocí funkci MD5 nebo SHA1. V php funkce: string md5 ( string $str [, bool $raw_output = false ] )md5 string sha1 ( string $str [, bool $raw_output = false ] )sha1 V Oracle nutno použít baliček DBMS_CRYPTO, nebo funkce naprogramovat. Často se používá Salt. Náhodný klíč, který se automaticky přidává k heslu uživatele, aby znesnadnil prolomení klíče.
Uživatelské role Problém: Jak správně zobrazovat uživateli správná data v aplikaci a povolit mu editovat správná data. Záznamy o vlastníkovi u každého řádku v DB Implementace ACL – složité, ale nejvariabilnější Role na základě jejich váhy – dostatečně flexibilní a jednoduché Uložení v DB: Tabulka v databázi, FK z tabulky users Uloženy v APP: Pole nebo konstatny v aplikaci Problém 2: Jak správně zajistit vlastnictví objektu uživatelem / skupinou uživatelů?
SQL Injection Vložení speciálního řetězce do input políčka formuláře tak, aby SQL dotaz vrátil jiná, než očekávaná data. Nebezpečná technika vykrádání databází aplikace, zejména pak uživatelských údajů, jako jsou ové adresy. Přehled SQL injections: Obrana: Oracle –Bindování dat pomocí oci_bind_by_name MySQL –Funkce mysql_real_escape_string –Správné psaní dotazů (uvozovky) a správné ošetření vstupu od uživatele
Escapování řetěžců Zásada: Nikdy nevěřte datům od uživatele. Uživatelé mohou kdykoliv zadat data ve formátu, který může způsobit nestabilitu a nefunkčnost aplikace. Uživatelé mohou zadat data i úmyslně špatně. Důsledkem toho je: Nutnost escapovat veškeré vstupy od uživatele. Filtrovat HTML, JS a PHP Funkce: addslashes – přidá escapování před apostrofy a uvozovky před uložením do DB htmlspecialchars – při vypisování zamezí interpretaci HTML znaků a přepíše je na entity