Tiedoston vastaanoton turvallisuudesta

Suurin osa PHP:ta käyttävistä on joutunut tai joutuu tekemään file uploadereita. Siinä voikin helposti tulla parikin tietoturva-aukkoa luotua, kannattaa olla tarkkana siis. Hyvän dokumentin tästä on kirjoittanut Scanit ja se kannattaakin kaikkien lukea. Tai ainakin PHP-tyyppien. Itse en tiennyt, että kuvatiedostoihin voi upottaa PHP-koodia.

PHP

Koodaatko PHP:ta? Jos et, niin onnea. Jos koodaat niin tässä yksi juttu: $_SERVER[’PHP_SELF’] ei ole turvallinen muuttuja! Esim: <form action=”<?php echo $_SERVER[’PHP_SELF’];?>” method=”post”>.. on altis XSS-hyökkäykselle ja ehkä paljon muullekin! http://blog.phpdoc.info/archives/13-XSS-Woes.html

OpenID

ONGELMA Muutaman kerran eri asioista tietoja etsineenä, kohtasin yhä uudelleen ja uudelleen saman ongelman: Jos haluaisi kirjoittaa jollekin keskustelupalstalle jotain, niin aina pitäisi rekisteröityä. Vain siksi, että voisi kirjoittaa sen yhden postauksen, joka auttaisi kaikkia. Eli ”Kiitos ohjeista, minulla ratkesi näiden avulla, ainut että tein tuon eri tavalla ja tuon eri tavalla”. Mutta kiinnostaako rekisteröityä […]

Blogilista

Blogilista ottaa nyt päivityspingauksia vastaan osoitteessa: http://www.blogilista.fi/blogipalvelut/ping Jos blogisi on blogilistalla ja siinä on mahdollisuus laittaa pingaus päälle, niin kannattaapi tehdä se. Sitten blogilista saa tiedon automaattisesti aina, kun blogisi päivittyy. Tämä postaus toimii samalla testauksena, toimiiko tuo :)