Безопасный код презентация

Содержание

1. Безопасный код
2. SQL инъекция $result = db_query(' SELECT *
3. $userID = "5;DROP TABLE users";
4. $result = db_query(' SELECT * FROM
5. Неправильно $result = db_query(' SELECT * FROM
6. Правильно $result = db_query(' SELECT * FROM users WHERE id = %d ‘, $userID);
7. Cross-site scripting (XSS) Основная проблема —
8. Как крадутся cookie document.write( ‘’ );
9. Уязвимость в реальной жизни $output = ‘’. $title .’’;
10. $title = “ alert(document.cookie)”;
11. alert(document.cookie)
12. $url = “javascript:alert(document.cookie)”;
13. …
14. Неправильно $output = ‘’. $title .’’;
15. Правильно $output = ‘’. check_plain($title) .’’;
16. Еще лучше $output = l($title, $url);
17. Фильтрация ввода — лечение от XSS check_plain() check_markup() ckeck_url() t() filter_xss_admin()
18. Подделка межсайтовых запросов (CSRF) Быстро удалить документ
19. А что если?
20. Лечение CSRF Управляющий код должен выполняться только в обработчиках форм, либо с проверкой токенов.
21. Спасибо за внимание! Контакты: Александр Швец neochief@drupal.pro Ссылки: http://drupaldance.com/lessons/secure-code-user-input http://drupaldance.com/lessons/secure-code-database-layer http://drupaldance.com/lessons/secure-code-csrf

SQL инъекция $result = db_query(' SELECT * FROM users WHERE id = '" + $userID + "'; ‘);

Слайд 1Безопасный код
© Александр Швец
neochief@drupal.pro

Слайд 2SQL инъекция
$result = db_query('
SELECT *
FROM users
WHERE id = '" + $userID

+ "';
‘);

Слайд 3

$userID = "5;DROP TABLE users";

Слайд 4
$result = db_query('
SELECT *
FROM users
WHERE id = 5;DROP TABLE users;
');

Слайд 5Неправильно
$result = db_query('
SELECT *
FROM users
WHERE id = '" + $userID +

"';
‘);

Слайд 6Правильно
$result = db_query('
SELECT *
FROM users
WHERE id = %d
‘, $userID);

Слайд 7Cross-site scripting (XSS)

Основная проблема — кража пользовательских cookies, с помощью которых

производится неавторизированный вход на сайт.

Слайд 8Как крадутся cookie

document.write(
‘’
);

Слайд 9Уязвимость в реальной жизни

$output =
‘’. $title .’’;

Слайд 10

$title = “
alert(document.cookie)”;

Слайд 11

alert(document.cookie)

Слайд 12

$url = “javascript:alert(document.cookie)”;

Слайд 13

…

Слайд 14Неправильно

$output =
‘’. $title .’’;

Слайд 15Правильно

$output =
‘’. check_plain($title) .’’;

Слайд 16Еще лучше

$output = l($title, $url);

Слайд 17Фильтрация ввода — лечение от XSS
check_plain()
check_markup()
ckeck_url()
t()
filter_xss_admin()

Слайд 18Подделка межсайтовых запросов (CSRF)

Быстро удалить документ

Слайд 19А что если?

Слайд 20Лечение CSRF
Управляющий код должен выполняться только в обработчиках форм, либо с

проверкой токенов.

Слайд 21Спасибо за внимание!
Контакты:
Александр Швец
neochief@drupal.pro

Ссылки:
http://drupaldance.com/lessons/secure-code-user-input
http://drupaldance.com/lessons/secure-code-database-layer
http://drupaldance.com/lessons/secure-code-csrf

Скачать презентацию

Безопасный код презентация

Содержание

Слайд 1Безопасный код
© Александр Швец
neochief@drupal.pro

Слайд 2SQL инъекция
$result = db_query('
SELECT *
FROM users
WHERE id = '" + $userID

Слайд 3

$userID = "5;DROP TABLE users";

Слайд 4
$result = db_query('
SELECT *
FROM users
WHERE id = 5;DROP TABLE users;
');

Слайд 5Неправильно
$result = db_query('
SELECT *
FROM users
WHERE id = '" + $userID +

Слайд 6Правильно
$result = db_query('
SELECT *
FROM users
WHERE id = %d
‘, $userID);

Слайд 7Cross-site scripting (XSS)

Основная проблема — кража пользовательских cookies, с помощью которых

Слайд 8Как крадутся cookie

document.write(
‘’
);

Слайд 9Уязвимость в реальной жизни

$output =
‘’. $title .’’;

Слайд 10

$title = “
alert(document.cookie)”;

Слайд 11

alert(document.cookie)

Слайд 12

$url = “javascript:alert(document.cookie)”;

Слайд 13

…

Слайд 14Неправильно

$output =
‘’. $title .’’;

Слайд 15Правильно

$output =
‘’. check_plain($title) .’’;

Слайд 16Еще лучше

$output = l($title, $url);

Слайд 17Фильтрация ввода — лечение от XSS
check_plain()
check_markup()
ckeck_url()
t()
filter_xss_admin()

Слайд 18Подделка межсайтовых запросов (CSRF)

Быстро удалить документ

Слайд 19А что если?

Слайд 20Лечение CSRF
Управляющий код должен выполняться только в обработчиках форм, либо с

Слайд 21Спасибо за внимание!
Контакты:
Александр Швец
neochief@drupal.pro

Ссылки:
http://drupaldance.com/lessons/secure-code-user-input
http://drupaldance.com/lessons/secure-code-database-layer
http://drupaldance.com/lessons/secure-code-csrf

Обратная связь

Что такое ThePresentation.ru?

Безопасный код презентация

Содержание

Слайд 1Безопасный код© Александр Швецneochief@drupal.pro

Слайд 2SQL инъекция$result = db_query('SELECT *FROM usersWHERE id = '" + $userID

Слайд 3$userID = "5;DROP TABLE users";

Слайд 4$result = db_query('SELECT *FROM usersWHERE id = 5;DROP TABLE users;');

Слайд 5Неправильно$result = db_query('SELECT *FROM usersWHERE id = '" + $userID +

Слайд 6Правильно$result = db_query('SELECT *FROM usersWHERE id = %d‘, $userID);

Слайд 7Cross-site scripting (XSS)Основная проблема — кража пользовательских cookies, с помощью которых

Слайд 8Как крадутся cookiedocument.write( ‘’);

Слайд 9Уязвимость в реальной жизни$output = ‘’. $title .’’;

Слайд 10$title = “alert(document.cookie)”;

Слайд 11alert(document.cookie)

Слайд 12$url = “javascript:alert(document.cookie)”;

Слайд 13…

Слайд 14Неправильно$output = ‘’. $title .’’;

Слайд 15Правильно$output = ‘’. check_plain($title) .’’;

Слайд 16Еще лучше$output = l($title, $url);

Слайд 17Фильтрация ввода — лечение от XSScheck_plain()check_markup()ckeck_url()t()filter_xss_admin()

Слайд 18Подделка межсайтовых запросов (CSRF)Быстро удалить документ

Слайд 19А что если?

Слайд 20Лечение CSRFУправляющий код должен выполняться только в обработчиках форм, либо с

Слайд 21Спасибо за внимание!Контакты:Александр Швецneochief@drupal.proСсылки:http://drupaldance.com/lessons/secure-code-user-inputhttp://drupaldance.com/lessons/secure-code-database-layerhttp://drupaldance.com/lessons/secure-code-csrf

Похожие презентации

Обратная связь

Что такое ThePresentation.ru?

Слайд 1Безопасный код
© Александр Швец
neochief@drupal.pro

Слайд 2SQL инъекция
$result = db_query('
SELECT *
FROM users
WHERE id = '" + $userID

Слайд 3

$userID = "5;DROP TABLE users";

Слайд 4
$result = db_query('
SELECT *
FROM users
WHERE id = 5;DROP TABLE users;
');

Слайд 5Неправильно
$result = db_query('
SELECT *
FROM users
WHERE id = '" + $userID +

Слайд 6Правильно
$result = db_query('
SELECT *
FROM users
WHERE id = %d
‘, $userID);

Слайд 7Cross-site scripting (XSS)

Основная проблема — кража пользовательских cookies, с помощью которых

Слайд 8Как крадутся cookie

document.write(
‘’
);

Слайд 9Уязвимость в реальной жизни

$output =
‘’. $title .’’;

Слайд 10

$title = “
alert(document.cookie)”;

Слайд 11

alert(document.cookie)

Слайд 12

$url = “javascript:alert(document.cookie)”;

Слайд 13

…

Слайд 14Неправильно

$output =
‘’. $title .’’;

Слайд 15Правильно

$output =
‘’. check_plain($title) .’’;

Слайд 16Еще лучше

$output = l($title, $url);

Слайд 17Фильтрация ввода — лечение от XSS
check_plain()
check_markup()
ckeck_url()
t()
filter_xss_admin()

Слайд 18Подделка межсайтовых запросов (CSRF)

Быстро удалить документ

Слайд 20Лечение CSRF
Управляющий код должен выполняться только в обработчиках форм, либо с

Слайд 21Спасибо за внимание!
Контакты:
Александр Швец
neochief@drupal.pro

Ссылки:
http://drupaldance.com/lessons/secure-code-user-input
http://drupaldance.com/lessons/secure-code-database-layer
http://drupaldance.com/lessons/secure-code-csrf