Portálrendszerek és biztonság Bártházi András Első Magyarországi PHP Konferencia 2003. március 29. Copyright PHP Konferencia, 2003,

Slides:



Advertisements
Hasonló előadás
7. előadás.  Zend_Auth komponens  Authentikációs típusok  Az authentikáció menete  Zend_Acl_Resource  Zend_Acl_Role  Jogosultságkezelés ZF-ben.
Advertisements

Windows OS Ambrus Attila 2010 Vay Ádám Gimnázium Szakközépiskola Szakiskola és Kollégium Rendszergazda.
Elektronikus Ügyfélkapu – kapcsolat az ügyfél és a közigazgatás között
UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS Adatbázis alapú rendszerek 1. Gyakorlat Követelmények / SQL.
C++ programozási nyelv Gyakorlat hét
2012. tavaszi félév Vitéz Gergely. A diasor ismerete nem helyettesíti a tankönyvet, és a példatárat. A diasor ismerete szükséges, de nem elégséges feltétele.
1 Informatikai Szakképzési Portál Adatbázis kezelés DCL – Adatvezérlő nyelv.
Hálózati architektúrák
( Bokrétás András) 7 mp.-ként automatikus váltás.
Networkshop, április Gál Gyula, Szegedi Tudományegyetem, Egyetemi Könyvtár Szerver-kliens alapú online intranetes.
Adatbázis alapú rendszerek
Jelszavak helyes megválasztása, szótáras törés
A C++ programozási nyelvSoós Sándor 1/12 C++ programozási nyelv Gyakorlat - 8. hét Nyugat-Magyarországi Egyetem Faipari Mérnöki Kar Informatikai Intézet.
WEB Technológiák Dr. Pance Miklós – Kolcza Gábor Miskolci Egyetem.
ADATBÁZISOK
Feladatok - BAR K+F Vámossy Zoltán 2010 Summer School on Image Processing (SSIP) nyári egyetem feladatai és saját ötletek alapján.
Digitális információink védelme Borbély András, Grepton Rt.
Látványos vektrorgrafikus és deklaratív prezentációs réteg 3D támogatássalLátványos vektrorgrafikus és deklaratív prezentációs réteg 3D támogatással Egységesített.
Az adatfeldolgozás forrásai
Hasonlóságelemzés.   Kaptunk egy feladatot, amit meg kell oldanunk.
A sörétes pisztolytól a távcsöves puskáig Hirdetői módszerek a szakmédiumokban Biró István és Szigetvári József.
A KFKI AFS szolgáltatás Hernáth Szabolcs MTA KFKI RMKI
PHP VII Sütik, munkamenetek. Sütik Mi az a süti? A süti (cookie) állapotot tárol a felhasználó böngészőjében. Pl. ha egy oldalon beállítható, hogy milyen.
Debrecen, március 27. Internet Fiesta 2008 Könyvtárak akadálymentesítése az Interneten Internet Fiesta 2008 Debrecen, március 27.
DML. Új rekord beszúrása: INSERT INTO tábla (oszlop1,oszlop2,…) VALUES (érték1,érték2,…); Rekord módosítása: UPDATE tábla SET oszlop = érték WHERE feltétel;
Vezetéknélküli hálózatok biztonsága
Fejmozgás alapú gesztusok felismerése Bertók Kornél, Fazekas Attila Debreceni Egyetem, Informatikai Kar Debreceni Képfeldolgozó Csoport KÉPAF 2013, Bakonybél.
Felhasználók azonosítása és jogosultságai, személyre szabás Borsi Katalin és Fóti Marcell NetAcademia Oktatóközpont.
a Moodle autentikációjához a PTE FEEK-en
Adatbázis adminisztrátori ismeretek
Hálózat kiépítésével lehetőségünk nyílik más számítógépek erőforrásainak használatára. Osztott háttértár használat: egy számítógép merevlemezének megosztásával.
2008. Április 8. Előadó: Schneider Henrik Online alkalmazások e-üzleti használhatósága a PC-s szoftverek kiváltásával.
Ki az ember? Isten eltorzult képe Francis A. Schaeffer:
Készítette: Pethő Balázs 1 Oktatási keretrendszerek A program megvalósulását az Apertus Közalapítvány támogatta.
Felhasználók és jogosultságok
Operációs Rendszerek 1 Felhasználókezelés Windisch Gergely
PHP oktatási tapasztalatok
Fejlesztés PHP-NUKE portál rendszerre Horváth Zoltán Második Magyarországi PHP Konferencia március 27. Copyright PHP Konferencia,
Gábor Dénes Főiskola Rendszertechnikai Intézet
1 Hernyák Zoltán Web: Magasszintű Programozási Nyelvek I. Eszterházy.
Mindennapi csodák Hogyan „vág” az olló Technika 5. osztály.
Web Architecture. Development of Computing Architectures Monolithic mainframe programming Client Server Real Client Server Web Programming.
Football Club webes arculata, azaz egy hivatalos klub honlapjának felépítése Készítette: Kiss László Balázs.
WEB Technológiák WEB-DB és XML ME Általános Informatikai Tsz. dr. Kovács László.
Fontos információk.
ORACLE ORDBMS adminisztrációs feladatok 3. rész dr. Kovács László 2004.
Gazdasági viszonyszámok képzése IKT eszközök felhasználásával
Varga Viktor – G36ECF 1/5 Vendéglátói szoftverek sajátosságai Varga Viktor.
5. gyakorlat Fleiner Rita.
Könyvtári honlapok megújítása Miért és hogyan? Vida Andrea Egyetemi Könyvtár Szeged.
Webprogramozó tanfolyam
„Ágazati felkészítés a hazai ELI projekttel összefüggő képzési és K+F feladatokra" Adatbiztonság a méréstechnológiában képzők képzése.
A közösség ereje. Mi az e-demokrácia gép? Hogyan működik a gép? Mire szeretnénk használni ezt a gépet? Mi a 42? Kikből áll a 42? Mit szeretne a 42? Miről.
Függvények a C nyelvben 1 Függvényeket a következő esetekben szokás írni: Ha ugyanazt a tevékenységet többször is el kell végeznünk ugyanolyan típusú,
Webprogramozó tanfolyam
1. feladat  Készíts olyan függvényt, mely paraméterül kapja két egész típusú változó címét, s hívása után a két változó értéke helyet cserél.
Alkalmazás- és eszközfelügyelet a felhőből
Hálózatok a mai világban
1 Copyright © 2004, Oracle. All rights reserved. Bevezetés.
Hajós Katalin Budapest, június 5.
BIRDIE Business Information Reporter and Datalyser Előadó: Schneidler József.
Webáruház rendszerek Reisz Péter G-3S
eeszt A csatlakozás feltételei és körülményei
Webprogramozó tanfolyam
Így ismerd meg a vevőt jól!
Beépített függvények használata programozáskor
A mentésben nincsen hacker...
Kulcsrakész Közgyűjteményi Portál
Információvédelem Menedzselése XX. Szakmai Fórum
Miért egyre bonyolultabb az elektronikus bizonylatok kezelése?
Előadás másolata:

Portálrendszerek és biztonság Bártházi András Első Magyarországi PHP Konferencia március 29. Copyright PHP Konferencia, 2003, Bártházi András

Portálrendszerek és biztonság Miről fog szólni az előadás? Mit? Mit ne? Hogyan? Mit értek portálrendszer alatt?

Mit? (portálrendszer elemek) Miből áll egy portálrendszer? Paraméter kezelés Munkamenet kezelés Adatbázis kezelés Sablon kezelés Jogosultság kezelés Stb.

Mit? (portálrendszer elemek) Paraméter kezelés Mit jelent? Milyen paramétereink lehetnek? A PHP segít nekünk Paraméterek Az oldal

Mit? (portálrendszer elemek) Munkamenet kezelés Mi ez és miért kell? Hogyan működik?

Mit? (portálrendszer elemek) Adatbázis kezelés Már kis rendszereknél is kellhet Amikor nem elég a PHP függvénykészlete Nem szeretnénk elkötelezni magunkat Nem szeretnénk megírni olyat, amit már más megírt Az alternatívák ADODB ( Pear::DB (

Mit? (portálrendszer elemek) Sablon kezelés Mi az a sablon, mire jó? Lásd későbbi előadás a mai napon

Mit? (portálrendszer elemek) Jogosultság kezelés Authentikáció (hitelesítés, igazolás) Authorizáció (felhatalmazás, meghatalmazás, engedélyezés) Felhasználó azonosítás Egyed azonosítás Jogosultsági rendszerek Csoport alapú (GUEST, USER, ADMIN...) Jog alapú (adott tábla sorának módosítása, törlése, hozzáadása...) Szabály alapú (főszerkesztő, újságíró, rendszergazda...)

Mit? (portálrendszer elemek) Mit? Láttuk, hogy mik az alapelemei egy rendszernek Tovább is lenne... Lássuk, hogy mit ne?

Mit ne? (a rossz példák) PHP: egyszerűség vs. Biztonság Az előző előadásban bemutatott egyszerűség hátrány is Bárki írhat PHP programot Nem egyértelmű, mindenki által ismert függvény paraméterezések, lehetőségek

Mit ne? (a rossz példák) Csak globális változókat ne! (register_globals=on) <? if ($jelszo=='PHP') { $belepett=1; } […] if ($belepett==1) { print “Érzékeny információ kiírása”; } ?>

Mit ne? (a rossz példák) Ellenőrizzünk! De ne így! (bármi futtatható) <? if (!file_exists($stilus)) { print “Nincs ilyen stilus!”; } else { include($stilus); } ?>

Mit ne? (a rossz példák) Ellenőrizzünk! Még mindig ne így! (bármi feltölthető) <? if (!file_exists($stilus)) { print “Nincs ilyen stilus!”; } else { include($stilus); } ?>

Mit ne? (a rossz példák) Filekezelés hátrányai (Linux alatt működik csak) <? if (!($h=fopen($oldal,”r”)) { print “Nem sikerült megnyitni a $oldal állományt!”; } else { print $fejlec.$oldal.$lablec; } ?>

Mit ne? (a rossz példák) SQL beszúrás (alaphiba) <? $dbjelszo = mysql_query ("SELECT password WHERE user='$azonosito'"); if ($dbjelszo==$azonosito) { $belepve=1; } else { $belepve=0; } ?>

Hogyan? (szabályok, beállítások) Ne bízzunk a kívülről jövő paraméterekben! Ne írjunk ki semmit ellenőrizetlenül! A web gyökerén belül csak hívások legyenek! Figyeljük a PHP biztonsági hibáit (php-announce lista)

Hogyan? (szabályok, beállítások) Program bemenetére az jött és onnan, amit vártunk? Program kimenetére az megy, amit oda szántunk? Adatbázisba az megy, amit oda szántunk? Programok paraméterének az megy, amit oda szántunk? Használjunk már bizonyított kódokat! Legyen több ponton is védett a rendszer! Nem tudnak róla? Attól még ott van! Csak annyi jogot adjunk, amennyi szükséges!

Hogyan? (szabályok, beállítások) register_globals=off safe_mode=on open_basedir beállítása display_errors=off log_errors=on allow_url_fopen kikapcsolása upload_tmp_dir beállítása is_uploaded_file használata move_uploaded_file használata

Hogyan? (szabályok, beállítások) Biztonsági védelem a modulka építve Paraméter kezelés Munkamenet kezelés Adatbázis kezelés Sablon kezelés Jogosultság kezelés Stb.

Linkek Végezetül két link: (lásd CD melléklet)

Köszönöm! kérdések: