Ataki na CMS

[utf-8]

Witam

Chciałbym niedługo stworzyć własnego uniwersalnego CMS(zapewniam że jest sens) i chcę się podpytać ludzi lepiej ode mnie obeznanych w temacie hackingu jakie zabezpieczenia zastosować oczywiście nie chodzi mi o takie banały jak: hashowanie haseł, wycinanie tagów czy slashowanie treści przesyłanych przez formularz, ale o inne pomysły a oto info na temat projektu:

użyte technologie:
-MySQL
-PHP
-XHTML
-Javascript


serwer:
-nieznany


składniki:
-index.php który będzie wyświetlał dynamicznie wszystkie podstrony
-admin.php z systemem logowania do panelu zarządzania
-moduł do wpisywania komentarzy na index.php
-baza MySQL


jeśli ktoś ma jakieś pomysły na co zwrócić uwagę to byłbym bardzo wdzięczny

[Mad_Dud]

Uprzedzam, że lista to zaledwie zarys zagadnień

• MVC,
• wyrażena regularne na każdym inpucie usera,
• stored procedures,
• najniższe możliwe uprawnienie usera uruchamiającego proces serwera httpd (jail),
• załadowanie jedynie niezbędnych modułów serwera httpd,
• rozdzielenie panelu administracyjnego od jednostki głównej.
• baza danych i serwer aplikacji nie ma prawa być na tym samym hoście,
• trzecia postać normalna bazy danych

[utf-8]

Dzięki za pomoc

-wyrażenia regularne to wiem
-uprawnienia i ładowane modułów httpd nie zależą ode mnie bo mój CMS jest przeznaczony dla serwerów wirtualnych wiec nie mam na to wpływu i myślę że administratorzy o to zadbali
-baza MySQL jest na innym host-cie
-nie wiem o co ci dokładnie chodzi z rozdzielaniem administracji od jednostki głównej, będą oddzielne pliki i w miarę możliwości też oddzielni użytkownicy MySQL

byłbym wdzięczny gdyby ktoś wyjaśnił zagadnienia( jak zabezpieczyć ):
-MVC
-stored procedures
-trzecia postać normalna bazy danych

[Mad_Dud]

byłbym wdzięczny gdyby ktoś wyjaśnił zagadnienia( jak zabezpieczyć ):
-MVC

Let me google that for you

-stored procedures

MySQL :: MySQL 5.0 Reference Manual :: 17.2 Using Stored Routines (Procedures and Functions)

-trzecia postać normalna bazy danych

A Simple Guide to Five Normal Forms in Relational Database Theory

Podsumowując: nie znasz fundamentalnych podstaw projektowania i implementacji aplikacji webowych a pytasz się za ich zabezpieczanie. Zabrałeś się od złej strony biorąc się za ten projekt. Nie potrafisz albo nie chce ci się sprawdzić w internecie znaczenia wymienionych przeze mnie zagadnień - w ten sposób do niczego nie dojdziesz.

Pisz ten projekt - zdobędziesz doświadczenie, ale przygotuj się na rozczarowanie i nie waż się upubliczniać a tym bardziej sprzedawać tego kodu.
Ja ci jednak radzę zabrać się za dogłębne studiowanie tematu. Dzięki temu unikniesz banalnych błędów, które zostały udokumentowane i objaśnione, oszczędzisz sobie czasu.

• http://www.lukew.com/resources/WebAp...nSolutions.pdf
• Development of web application using MVC II design pattern or why following MVC II will help me - CodeProject

[utf-8]

znam znaczenie tych zagadnień, może po prostu nie zrozumiałem co chciałeś mi przekazać wypisując je

żeby była jasność:
każesz mi z nich korzystać dla bezpieczeństwa czy w przypadku ich używania uważać na dziury ?

[Mad_Dud]

znam znaczenie tych zagadnień, może po prostu nie zrozumiałem co chciałeś mi przekazać wypisując je

Nie znasz ich, ponieważ nie rozumiesz, co chciałem przekazać. Każdy wymieniony podpunkt to metoda zwiększająca bezpieczeństwa.

żeby była jasność:
każesz mi z nich korzystać dla bezpieczeństwa czy w przypadku ich używania uważać na dziury ?

Kolejny dowód na to, że nie wiesz o czym piszę i nie czytasz podanych przeze mnie materiałów - nie szanujesz mojego czasu.
Stored procedures to z definicji metoda przetwarzania zapytań sql pod kątem bezpieczeństwa. Oto cytat z podanego wcześniej linku:

When security is paramount. Banks, for example, use stored procedures and functions for all common operations. This provides a consistent and secure environment, and routines can ensure that each operation is properly logged. In such a setup, applications and users would have no access to the database tables directly, but can only execute specific stored routines.