Mysql
 sql >> डेटाबेस >  >> RDS >> Mysql

PHP/SQL डेटाबेस अच्छे अभ्यास और सुरक्षा की क्वेरी करता है

जेवियर का जवाब जिसमें ओवास्प लिंक है, एक अच्छी शुरुआत है।

कुछ और चीजें हैं जो आप और अधिक कर सकते हैं:

  1. SQL इंजेक्शन हमलों के संबंध में, आप एक ऐसा फ़ंक्शन लिख सकते हैं जो इनपुट से सामान्य SQL कथन जैसे " DROP " या "DELETE * WHERE" को इस तरह से हटा देगा:

    *$sqlarray =सरणी ("ड्रॉप", "या 1 =1", "संघ का चयन करें", "चुनें * से", "होस्ट का चयन करें", "तालिका बनाएं", "उपयोगकर्ताओं से", "उपयोगकर्ता कहां"); *

    फिर वह फ़ंक्शन लिखें जो इस सरणी के विरुद्ध आपके इनपुट की जांच करेगा। सुनिश्चित करें कि $sqlarray के अंदर की कोई भी सामग्री आपके उपयोगकर्ताओं से सामान्य इनपुट नहीं होगी। (इस पर strtolower का उपयोग करना न भूलें, धन्यवाद लू)।

  2. मुझे यकीन नहीं है कि memcache PHP 4 के साथ काम करता है, लेकिन आप memcache के साथ कुछ स्पैम सुरक्षा को केवल प्रक्रिया के लिए एक निश्चित दूरस्थ IP एक्सेस की अनुमति देकर रख सकते हैं। Y समय अवधि में php पृष्ठ X की मात्रा।

  3. विशेषाधिकार महत्वपूर्ण है। यदि आपको केवल सम्मिलित विशेषाधिकारों (जैसे, ऑर्डर प्रोसेसिंग) की आवश्यकता है, तो आपको उस उपयोगकर्ता के साथ ऑर्डर प्रक्रिया पृष्ठ पर डेटाबेस में लॉग इन करना चाहिए जिसमें केवल सम्मिलित है और शायद विशेषाधिकारों का चयन करें। इसका मतलब यह है कि भले ही एक SQL इंजेक्शन के माध्यम से, वे केवल INSERT / SELECT क्वेरी कर सकते थे और डिलीट या रिस्ट्रक्चरिंग नहीं कर सकते थे।

  4. एक निर्देशिका में महत्वपूर्ण php प्रसंस्करण फ़ाइलों को रखें जैसे कि /include। फिर सभी आईपी को उस /include निर्देशिका तक पहुंच को अस्वीकार करें।

  5. उपयोगकर्ता के सत्र में उपयोगकर्ता के एजेंट + रिमोटिप + अपने नमक के साथ एक नमकीन MD5 डालें, और प्रत्येक पृष्ठ लोड पर यह सत्यापित करें कि सही MD5 उनकी कुकी में है।

  6. कुछ शीर्षलेखों को अस्वीकार करें (http://www.owasp.org/index.php/Testing_for_HTTP_Methods_and_XST ए> ) . PUT को अस्वीकृत करें (यदि आपको फ़ाइल अपलोड की आवश्यकता नहीं है)/TRACE/CONNECT/हटाएं शीर्षलेख।



  1. Database
  2.   
  3. Mysql
  4.   
  5. Oracle
  6.   
  7. Sqlserver
  8.   
  9. PostgreSQL
  10.   
  11. Access
  12.   
  13. SQLite
  14.   
  15. MariaDB
  1. CSV से mySQL डेटाबेस में डेटा लोड करें जावा+हाइबरनेट+स्प्रिंग

  2. केस संवेदनशील RLIKE

  3. दो असंबंधित प्रश्नों के परिणामों को एक दृश्य में संयोजित करें

  4. उपयोगकर्ता 'रूट' @ 'लोकलहोस्ट' (पासवर्ड का उपयोग करके:हाँ) के लिए एक्सेस अस्वीकृत एक्सेस को कैसे हल करें जब MySQL डेटाबेस कनेक्ट करें

  5. MySQL ट्यूटोरियल - अपने MySQL सर्वर पर एसएसएल को कॉन्फ़िगर और प्रबंधित करना