Drošības risinājumi PHP programmēšanas valod... / ID: 952810

Autors: MN278 (31)

Vērtējums:

Publicēts: 13.07.2011.

Valoda: Latviešu

Līmenis: Augstskolas

Literatūras saraksts: 32 vienības

Atsauces: Ir

Izvērst priekšskatu

SatursAizvērt

Nr.	Sadaļas nosaukums	Lpp.
1.	IEVADS	9
1.1.	Tēmas aktualitāte	9
1.2.	Darba mērķis un uzdevumi	10
2.	DROŠĪBAS RISINĀJUMI	12
2.1.	Lietotāju ievadīto datu pārbaude un ierobežojumi	12
2.2.	Ievadītās informācijas pārbaude pret programmām	15
2.3.	Droša sesiju lietošana	16
2.4.	Drošības risinājumi pret SQL injekcijām	19
2.5.	Drošības risinājumi pret failu augšupielādes uzbrukumiem	21
2.6.	Drošības risinājumi pret XSS (cross site scripting) injekcijām	23
3.	DATU ŠIFRĒŠANAS ALGORITMI	26
3.1.	Algoritmu klasifikācija	26
3.2.	Sajaukšanas algoritmi jeb vienvirziena šifrēšana	27
3.3.	Divvirziena šifrēšanas algoritmi	29
4.	EKSPERIMENTU ORGANIZĒŠANA PHP DROŠĪBAS RISINĀJUMOS	33
4.1.	Eksperimentu mērķis	33
4.2.	Vienvirziena šifrēšanas salīdzināšana pēc laika	33
4.3.	Divvirzienu šifrēšanas salīdzināšana pēc laika	35
4.4.	Divvirzienu šifrēšanas algoritmu salīdzināšana pēc atslēgu izmēriem	38
5.	DROŠĪBAS RISINĀJUMU LIETOJUMS	40
5.1.	Drošības koda izstrāde	43
5.2.	Reģistrācijas formas izstrāde	47
5.3.	Lietotāju autorizēšanās formas izstrāde	51
5.4.	Funkcijas htmlentities lietošana	56
5.5.	Privilēģiju piešķiršana lietotājiem	58
5.6.	Divvirzienu šifrēšanas lietošana	61
6.	TĪMEKĻA VIETNES „PHP DISKUSIJAS” APRAKSTS	66
	SECINĀJUMI	70
	IZMANTOTĀ LITERATŪRA	71
	PIELIKUMI	75

Darba fragmentsAizvērt

6.11. attēlā ir redzama forma, kurā tiek mainīta lietotāju klase, norādot lietotājvārdu un klasi. Klase var būt vai nu 1 vai 2 un lietotājvārdam ir jābūt datubāzes tabulā users, pretējā gadījumā klase netiek mainīta par to paziņojot. Lietotāju klases var mainīt, tie lietotaji, kuriem klase ir 1.
Šajā nodaļā tika aprakstīta izveidotā tīmekļa vietne „PHP diskusijas”, kā arī tika izmantoti attēli, lai varētu vieglāk nodemonstrēt tīmekļa vietnes iespējas.
Nākamā nodaļa paredzēta secinājumiem par izstrādāto darbu.

SECINĀJUMI
Darbā tika izpētīti un analizēti PHP drošības risinājumi. Tika noskaidrots, ka izvadot vai ievadot datus datubāzē, vispirms ir jāveic datu pārbaude. Visu mainīgo vērtības ir jāpārbauda, kā arī jāveic izmantojamo simbolu ierobežojumi lietotājiem.
Drošai datu izvadei no datubāzes var lietot funkciju htmlentities, bet drošai ievadei datu bāzē var lietot funkciju mysql_real_escape_string.
Svarīgi ir ierobežot lietotāju ievadīto simbolu daudzumu, lai izvairītos no uzbrukumiem, kuri paredzēti, lai noslogotu serveri. Nozīmīgus datus, kuri ir jāaizsargā, būtu vēlams šifrēt ar vienvirziena vai divvirziena sifrēšanas algoritmiem.
Tika noskaidrots, ka no divvirzienu šifrēšanas algoritmiem biežāk lietotie ir 3DES un AES algoritmi, kā arī tie tiek uzskatīti par pietiekami drošiem. Eksperimentā, kurā tika noteikti divvirzienu šifrēšanas laiki, kā ātrākais šifrēšanas algoritms tika noteikts AES jeb RIJNDAEL un starp vienvirziena šifrēšanas algoritmiem, ātrākais ir md5. Šifrēšanas ātrumam ir liela nozīmē tā pat kā drošībai, tādēļ tika organizēts šis eksperiments, lai varētu uzzināt, kuri starp izvelētajiem šifrēšanas algoritmiem ir drošākie un ātrākie.
No kodu injekcijām var izvairīties pārbaudot mainīgo vērtības lietojot tās SQL vaicājumos. Gadījumos, kad ir nepieciešams izvairīties no programmām, kuras veic automātisku datu ievadi teksta laukos, var izmantot drošības kodus, lai nepieļautu šo programmu darbību.
Izmantojot izpētītos PHP drošības risinājumus, tika izveidota tīmekļa vietne „PHP diskusijas”.
Tādejādi izstrādājot tīmekļa vietni „PHP diskusijas”, kura tik izstrādāta ņemot vērā izpētītos drošības risinājumus, var secināt, ka darba uzdotais mērķis ir izpildīts.
…