Язык РНР является довольно гибким и простым. Так, одним из его основных назначений была и остается обработка данных HTML-форм. И действительно, РНР существенно упрощает использование и обработку данных, отправляемых в сценарий через HTML-форму. Однако простота — меч обоюдоострый. Функции, позволяющие вам быстро писать программы на РНР и удобно получать данные с форм, по сути являются дверьми для тех, кто хочет взломать ваши системы.
Язык РНР нельзя назвать безопасным или небезопасным. Все зависит от его применения, и безопасность ваших веб-приложений полностью зависит от кода, написанного вами. Например, если ваш сценарий открывает файл, чье имя передается сценарию в качестве параметра формы, и этому сценарию можно передать удаленный URL, абсолютный путь или даже относительный путь (что позволит открыть файл за пределами каталога документов веб-сервера) — это очень плохо. При таком решении злоумышленником без особого труда будет открыт ваш файл паролей или любая другая важная информация.
Безопасность веб-приложений — молодая и развивающаяся дисциплина. Одна глава по безопасности не может сделать вас асами в отражении веб-атак, которые, несомненно, будут осуществляться на ваши приложения если они будут представлять вообще хоть какой-то интерес. Тем не менее некоторые основные моменты вы здесь найдете: глава содержит практические рекомендации по защите ваших приложений от наиболее распространенных и опасных атак. В завершении главы вы найдете список дополнительных ресурсов, а также краткое резюме с несколькими дополнительными подсказками.
Стоит отметить, что не смотря на наличие специализированных решений для повышения уровня безопасности, так называемых Web Application Firewall, очень многое зависит от мастерства программиста. Ну и конечно же азы «алгоритмического мышления» закладываются еще в школе, а специализированные сервисы, например ЕГЭ по математике профиль онлайн, помогут будущим кодерам подготовиться к грядущим экзаменам!
Добавить комментарий