paxnWo Posted November 5, 2008 Report Posted November 5, 2008 1. Am grija ca parolele ( mysql, ftp si din panoul de administrare) sa fie greu de ghicit si diferite;2. Instalez pe server mod_security si il configurez dupa cum am nevoie;3. Setez permisiunile fisierelor/directoarelor sa fie minime (de obicei 640 pe fisiere si 750 pe foldere);4. Blochez accesul in toate folderele care nu trebuie sa fie folosite de public (cache, clase etc) cu "Deny from all" in .htaccess;5. Sterg toate fisierele/directoarele care nu sunt necesare (installer, redme, changelog etc);6. Securizez aplicatia folosita;6.a) Pornind de la premisa ca toate datele de intrare sunt compromise, totul trebuie validat si nimic primit din exterior nu trebuie rulat pana cand nu trece printr-o functie/metoda de sanitizare;6. Pornind de la premisa ca datele care urmeaza sa fie afisate sunt compromise, nimic nu va fi afisat daca nu se trece prin filtrul de sanitizare - cu RegEx/PCRE se elimina toate tentativele de XSS, informatii care corespund diferitelor sabloane create (ex. rezultatul select-urilor sql sau continutul fisierelor .ini) etc;Pe langa asta, daca folosesti windows iti recomand sa nu salvezi parolele in nici un loc (browser, client ftp etc). Eu folosesc Total Commander pe windows si toate sesiunile le am salvate fara parola.by Agkelos Quote
dblackshell Posted November 9, 2008 Report Posted November 9, 2008 ... nu stiu cum vezi tu lucrurile, dar RegEx la cat de obscur poate fi uneori, nu poti sa-l folosesti in siguranta... cel mai bine no html, si convertirea simboalelor in entitati html... Quote