Ребят, Ленин завещал делиться. Так давайте поделимся методами и советами по обеспечению безопасности сайтов. Что как сделать, что использовать и т.д. Думаю всем будет интересно.
Проверять абсолютно всю информацию. Если это обработчик формы, то проверять: Сколько переменных пришло; Какого типа каждая переменная; Какого типа данные в каждой переменной; С какой страницы пришёл запрос; Правильного ли формата данные в переменных (DD-MM-YYYY или XXXX@XXXX.XXX); Не содержат ли они кавычек или запрещённых символов; С какого IP пришёл запрос; Не было ли с этого IP попыток ввести некорректные данные; Как часто приходят запросы; Как часто приходят запросы с этого адреса и так далее. Проверок много не бывает. Иногда бывает так, что пользователь не намеренно ввёл что-то, что могло показаться вредоносным. Для этого нужно использовать функции, которые: Экранируют кавычки; Заменяют спецсимволы; Убирают лишние пробелы и так далее. Ещё неплохо, если вы сами умеете взламывать. Попытайтесь взломать собственный сайт. Найденные уязвимости тут же нужно залатать. Если не уверены, что найдёте всё сами, попросите кого-нибудь, кто умеет. Лучше потратить лишнее время, чем потом ликвидировать ущерб. Если это какой-то бложик, ничего страшного не будет. А вот если корпоративный сайт, тогда можно не только потерять значимую долю прибыли, но ещё и платить компенсацию партнёрам.