ТитанСофт

Создание сайтов

Юзабилити

CD-презентации
Версия для печати Карта сайта Титульная страница

Система удаленного управления сайтами phpSiteManager.
Безопасность.

TitanSoft phpSiteManager (phpSM) - это перспективная разработка компании "ТитанСофт", сочетающая в себе все достоинства open-source и закрытого корпоративного продукта. Самые новые алгоритмы и наработки используются для коммерческих продуктов, а часть кода (ядро системы) открыто для разработчиков всего мира, что позволяет одновременно развивать систему многим программистам. Это обеспечивает постоянное развитие и быстрое исправление ошибок. Принципы OpenSource дают гарантию того, что продукт легко расширяем, протестирован большим количеством разработчиков и прост в обслуживании.

Безопасность работы в системе.

Безопасная работа с Базой Данных.
Возможность сохранять базу данных в архив на сервере А также возможность восстанавливать базу данных из любого архива. Настройка автоматического или ручного архивирования Базы Данных.

Задание ограничений.
Есть возможность задать ограничение на количество записей в любых разделах системы управления, а также задать ограничения на объем выгружаемых на сайт файлов. Ограничения задаются индивидуально для каждого раздела системы и сайта портала.

История изменений.
Все действия пользователей связанные с изменением данных сохраняются в специальном разделе системы. Можно осуществлять выборку по дате, а также выяснить, в какой момент была потеряна та или иная информация и кто в этом виноват.

Защита от влома.
У каждого пользователя есть свой собственный пароль, хэшируемый по алгоритму "MD5 Message Digest Algoritm", что обеспечивает полную сохранность даже в случае попадания базы данных паролей в руки злоумышленников.

Защищенные протоколы работы в интернете.
Работа системы управления может осуществляться по защищенному протоколу HTTPS.

Принципы безопасности WEB-программирования

Главный девиз - не доверять входящим данным.
Все переменные полученные от пользователя должны быть обработаны перед дальнейшим их использованием (под переменными пришедшими от пользователя подразумеваются все переменные значение которых может изменить пользователь).

Порождаемые опасности:
  • SQL Injection.
    Sql Injection это широко распостраненный метод взлома Интернет приложений. Он подразумевает вставку SQL кода через POST, GET и другие методы в переменные которые подставляются в SQL запрос к базе данных с целью изменения или получения записей.

    Защита:
    Все переменные вставляемые в sql код, должны быть безопасны. Все переменные приходящие от пользователя следует обработать их таким образом чтобы они не могли нарушить работу скрипта.

  • Выполнение системных вызовов из PHP-скриптов.
    В PHP предусмотрено несколько средств для выполнения системных вызовов. Ну а если подробнее, то system(), exec(), passthru(), popen() и оператор обратная кавычка [backtick] (`) позволяют выполнять команды операционной системы непосредственно из PHP-скрипта. И каждая из перечисленных функций при неадекватном использовании может предоставить злоумышленнику огромные возможности исполнения системных команд на вашем сервере. Как это было и в случае с доступом к файлам, большинство дыр появляется, когда текст команды составляется на основе небезопасных данных, полученных со стороны.

    Защита:
    Все как всегда, проверка пришедших от пользователя данных. Для борьбы с этим недугом PHP предлагает две функции: escapeshellarg() и escapeshellcmd().