امنیت در برنامه نویسی PHP و شناسایی خطرات امنیتی

دسته بندی: آموزش
زمان مطالعه: ۲ دقیقه
۲۰ شهریور ۱۳۹۳

در جلسه ی امروز در مورد بحث بسیار مهم امنیت در زبان PHP صحبت می کنیم و بیش از 20 نکته ی مهم رو برای رعایت موارد امنیتی و کدنویسی امن به شما توضیح می دیم .

 

موارد مطرح شده در این جلسه عبارتند از :

فصل 16 : امنيت در PHP : شناسايي باگ هاي امنيتي و رفع آن ها

  • چرا و چگونه برنامه هايي ايمن بنويسيم؟
  • شناخت انواع حملات و مشکلات امنيتي، پيشنيازي براي نوشتن برنامه هاي امن
  • دلايل ايجاد ناامني در برنامه هاي PHP و راه حل رفع انها
  • قانون اول ! عدم اعتماد به داده ها کاربران
  • مشکلات در پيکربندي وب سرور
  • مشکلات ناشی از فعال بودن register_globals و نحوه ی غیر فعال سازی آن
  • عدم تنظيم صحيح نحوه ي گزارش خطاها
  • مشکلات موجود به دلیل عدم انتخاب انکودینگ استاندارد
  • ساختار نامناسب برنامه برای لود کردن فایلها
  • عدم استفاده از نام ها و مقادیر پیش فرض
  • حذف فایل های نصب اسکریپت ها پس از اتمام مراحل نصب
  • قابل پیشبینی بودن رفتار ، ساختار و کدهای شما و مشکلات آن
  • غیرفعال سازی و یا استفاده ی صحیح از Powerful Commands ها در php
  • انتخاب نوع و سایز مناسب برای ستون های جداول پایگاه داده
  • پسوردهای ضعیف و مشکلات ناشی از آن
  • خصوصیت های یک  پسورد مطمئن و قوی
  • مشکلات امنيتي مربوط به ديتابيس و تزريق SQL یا SQL Injection
  • مشکلات ناشي از تزريق کد و داده هاي خطرناک (Cross-Site Scripting - XSS)
  • مشکلات ناشي از دزيده شدن Session ها و Cookie ها
  • حملات CSRF و راهکارهاي مقابله با آن
  • کهنه بودن ورژن نرم افزارها و اسکريپت ها
  • استفاده از فریم ورک های معروف برای رفع بسیاری از نگرانی های امنیتی
  • مشکلات موجود در هاست های اشتراکی، تهیه ی هاست از شرکت های معتبر و متخصص
  • آماده ی حمله ی هکرها باشید ! چه مسائلی را باید همیشه رعایت کنم و به یاد داشته باشم؟
  • آشنايي بيشتر با الگوريتم هاي کدگذاري و Hash کردن
:: توجه

این مطلب یک جلسه از آموزش PHP می باشد و برای مشاهده آن باید در دوره ثبت نام کنید.

ثبت نام در آموزش PHP

نویسنده
بیش از 15 سال هست که برنامه نویسی می کنم و از بین همه زبون هایی که کار کردم جاوا، اسمبلی و php رو دوست دارم. دانشجوی دکترای نرم افزارم و توی دانشگاه روی پردازش بیگ دیتا و پردازش موازی کار کردم و عاشق چالش از هر نوعیش هستم! سون لرن مثل بچه منه که 12 سال براش وقت گذاشتم، اینجا همه تلاش می کنیم از شروع یادگیری تا ورود به بازر کار حوزه برنامه نویسی و IT همراهتون باشیم.

جلسات دوره

نظرات کاربران

mahdiyeh

با سلام استاد اوند لطفا ایمیل بنده بررسی نماییدبه این آدرس ایمیل ارسال کردم
avand.loghman@gmail.com

Behdad Khateri

سلام خسته نباشید
گاهی در اخبار گفته میشه که یک فرد کم سن و سال سایتهای دولتی رو هک کرده!!! قطعا سایتهای دولتی امنیت کمی ندارند. آیا لزوما هکر دانش بالایی دارد؟ و استفاده از توابع برای جلوگیری از کد اینجکشن و… در اکثر سایتها رعایت میشون به نظر شما هکر ها معمولا از چه روشهایی استفاده میکنند؟

لقمان آوند

حالا کی گفته امنیت سایتای دولتی زیاده؟ وقتی سایتایی مثل فیسبوک، توییتر و لینکدین بعضا نقصای امنیتی توشون پیدا میشه اینا که سهله!
راه های نفوذ زیاده. کافیه یه نقص امنیتی مستعد حمله پیدا بشه برای هکر و این کافیه تا کارشو انجام بده .

میثم جبارزاده

سلام و خسته نباشید
اگر قرار باشه پسورد بصورت plain text سمت سرور فرستاده بشه امکان شنودش وجود داره چون پروتکل http امن نیست!!!! پس احتمالا کنار هشینگ سمت سرور سمت کاربر هم لازم هست انجام بشه
استاد واقعیتش خیلی دوست داشتم دقیقا کدهای مربوط به امنیت یک سایت آنلاین رو ببینم.
فکر می کنم اون چیزی که تو واقعیت اتفاق می افته بسیار فراتر از اینهاست!!!!
استاد با مطالب گفته شده واقعا امنیت مطلوب رو تامین کردیم؟

لقمان آوند

اگر شنود ارتباط بین کلاینت و سرور هم مهمه براتون می تونید اینکار هم بکنید. ولی در کل هش سمت کلاینت نباید جایگزین سمت سرورش بشه! ولی خوب با هم استفاده کردنش هم می تونه مشکلی که گفتید رفع کنه تا حدودی …
کلا امنیت یه بحث نسبی هست و نمیشه ادعا کرد 100% امنیت وجود داره. ولی میشه به سمت 100% نزدیک و نزدیکتر شد. بله اگر مواردی که گفته شده رعایت کنید می تونید بابت خیلی از نگرانی های امنیتی خیالتون راحت باشه …

پایان زمان پشتیبانی

دانشجوی گرامی، بازه پشتیبانی فعال برای این دوره ۳ ماه است که برای شما به پایان رسیده است.

شما هم چنان می توانید سوالات خود را در این قسمت بپرسید اما اولویت پاسخ گویی با دانشجویانی است که بازه پشتیبانی فعال دارند.

نیاز به لاگین

برای ارسال دیدگاه و یا پرسیدن سوال خود در این قسمت، باید در سایت لاگین شوید.
گزارش مشکل