Меню
Главная
Авторизация/Регистрация
 
Главная arrow Информатика arrow Анализ актуальных киберугроз

Методика защиты от PHP - инъекций

Отметим, что сегодня существует несколько способов защиты от такой атаки:

Все данные приведены ниже в таблице 2.

Таблица 2 - Способы защиты от PHP-инъекций

Способы защиты от PHP-инъекций

Посторонние символы в $module

Допустимое значение в $module

Значение через «if»

Использование «switch»

1) Проверять, не содержит ли переменная $module посторонние символы:

<?

$module = $_GET['module'];

if (strpbrk($module, '.?/:')) die('Blocked');

include $module. '.php';

  • ?>
  • 2) Проверять, что $module присвоено одно из допустимых значений:

<?

$module = $_GET['module'];

$arr = array('main', 'about', 'links', 'forum');

if (!in_array($module,$arr)) $module = $arr[0];

include $module . '.php';

?>

Этот способ является более эффективным, красивым и аккуратным.

3) Прописать каждое значение через if:

<?

$module = $_GET['module'];

if ($module == 'main') include 'main.php';

if ($module == 'about') include 'about.php';

if ($module == 'links') include 'links.php';

if ($module == 'forum') include 'forum.php';

  • ?>
  • 4) Использовать оператор switch:

<?

$module = $_GET['module'];

switch($module){

case 'main': include 'main.php'; break;

case 'about': include 'about.php'; break;

case 'links': include 'links.php'; break;

case 'forum': include 'forum.php'; break;

default: include 'main.php';

}

?>

Это решение аналогично решению с if, но имеет более компактную запись.

PHP предоставляет также возможность отключения использования удаленных файлов, это реализуется путём изменения значения опции allow_url_fopen на Off в файле конфигурации сервера php.ini.

Выводы по второй главе

Таким образом, в результате изучения методов предупреждения кибератак мы выделили следующие методы:

  • - сканирование портов защищаемой системы с помощью системы СОА Snort, которая обладает довольно гибким механизмом настроек, позволяющим выстроить достаточно эффективную систему обнаружения атак на веб-сервер и влияние на трафик, а также противодействовать этому;
  • - метод межсетевого экранирования, который, фактически, представляет собой гибкий и эффективный инструмент для предупреждения внешних угроз;
  • - использование системы защиты от спуфинга, которая реализуется, в том числе, при помощи использования листов контроля доступа;
  • - метод адресной фильтрации, который позволяет противодействовать DDoS-атакам;
  • - методы защиты от sql инъекций PHP и PDO.

Таким образом, на данном этапе считаем возможным изучить алгоритм проведения XXS атак и выработать наиболее оптимальные способы защиты от них.

 
Если Вы заметили ошибку в тексте выделите слово и нажмите Shift + Enter
< Предыдущая   СОДЕРЖАНИЕ   Следующая >
 
Предметы
Агропромышленность
Банковское дело
БЖД
Бухучет и аудит
География
Документоведение
Естествознание
Журналистика
Информатика
История
Культурология
Литература
Логика
Логистика
Маркетинг
Математика, химия, физика
Медицина
Менеджмент
Недвижимость
Педагогика
Политология
Право
Психология
Религиоведение
Социология
Статистика
Страховое дело
Техника
Товароведение
Туризм
Философия
Финансы
Экология
Экономика
Этика и эстетика
Прочее