Обеспечение безопасности кода
Cтатья "Обеспечение безопасности веб-сайтов" предоставлена Sophos Plc и SophosLabs.
Декабрь 2007 г.
Разрабатывать безопасный код не всегда так просто, как кажется. Для этого нужны не просто опытные программисты — также требуются знания о конкретных проблемах безопасности [12]. Разработке безопасного кода посвящены многие книги, поэтому здесь рассматриваются только основы [13].
Глобальные переменные всегда следует отключать, поскольку их можно намеренно инициализировать с помощью подложного запроса GET или POST.
Сообщения об ошибках следует отключить. Вместо них следует использовать запись сведений об ошибках в лог-файл, поскольку подобная информация может дать злоумышленникам возможность спровоцировать аналогичную проблему и использовать ее для поиска других уязвимостей.
Не следует считать надежными данные, поступающие от пользователей. Для удаления специальных символов SQL и escape-последовательностей необходимо использовать функции фильтрации.
