Quelqu'un at-il rencontré une fonction/classe à l'épreuve des balles (maison ou natif) pour sécuriser les formulaires de contact?PHP - comment désinfectez-vous vos formulaires de contact?
Répondre
Voir:
Secure Your Forms With Form Keys
Mieux encore, emploient:
Purificateur HTML est conforme aux normes bibliothèque de filtres HTML écrit en PHP. HTML Purifier non seulement supprimer tous code malveillant (mieux connu sous le nom XSS) avec un fond vérifié, sécuriser encore whitelist permissive, il sera également assurez-vous que vos documents sont des normes conformes, quelque chose que réalisable avec une connaissance approfondie de Spécifications du W3C. Fatigué d'utiliser BBCode en raison du paysage actuel de filtres HTML déficients ou non sécurisés? Avoir un éditeur WYSIWYG mais n'a jamais été capable de l'utiliser? Vous recherchez des composants Open Source de haute qualité et conformes aux normes pour l'application que vous construisez? HTML Le purificateur est pour vous!
Je recommande d'utiliser l'OWASP Enterprise Security API il est une collection de accesseurs qui filter user input en fonction du type de données qu'il doit être. Une autre couche de sécurité gratuite est un Web Application Firewall (WAF) tel que PHP-IDS ou mod_security. Un WAF empêchera de nombreux types d'attaques d'atteindre votre application. C'est probablement ce que vous cherchez, car il s'agit d'une solution "drop in" qui ne nécessite aucune modification de votre application. Une bibliothèque de validation d'entrée vous aidera, mais vous devez garder à l'esprit qu'il n'y a pas de solution miracle, vous ne pouvez pas appeler une routine ou installer un logiciel et s'attendre à ce que toutes les vulnérabilités disparaissent. Les vulnérabilités de validation d'entrée dépendent fortement de la manière dont les données sont utilisées. Par exemple LFI, XSS, CRLF et SQL Injection ont tous des caractères de contrôle différents et ont donc leurs propres exigences pour le filtrage/l'échappement/l'encodage. Si vous voulez construire une application PHP vraiment solide, alors vous devez lire le PHPSec LIbrary.
La meilleure façon d'empêcher l'injection SQL est d'utiliser des requêtes paramétrées avec une bibliothèque telle que PHP's PDO. De cette façon vous SAVIEZ que la requête est immunisée à l'injection SQL, indépendamment de l'origine des données.
En outre, certaines vulnérabilités n'ont rien à voir avec la validation des entrées. Les violations CSRF et crypto sont deux excellents exemples. Vous devriez également lire le OWASP Top 10.
Je ne pense pas que ce soit un cas particulier, utilisez toujours des requêtes paramétrées lors de l'interaction avec une base de données.
Parce que la configuration de requêtes paramétrées avec PHP/mysqli peut être une douleur verbeuse, je recommande fortement Rob Poyntz Codesense_mysqi class. C'est une petite enveloppe soignée qui cache la plus grande partie de l'ennui.
- 1. WP-Contact Form 7 - PHP
- 2. De quelle façon préférez-vous créer vos formulaires dans MVC?
- 3. Plusieurs formulaires de contact dans une page .NET
- 4. Formulaires de contact multiples sur la page PHP - Pas d'actualisation de page
- 5. PHP Formulaire de contact d'édition
- 6. Quelle est votre solution pour les 'formulaires de contact' dans les applications Ruby on Rails?
- 7. Formulaire de contact PHP ne pas envoyer
- 8. php-mysql contact email importateur
- 9. Comment définir l'adresse "De" dans un formulaire de contact PHP?
- 10. Formulaires PostgreSQL et PHP
- 11. Ajax/PHP Contact Code de vérification échoue
- 12. php formulaire de contact code propre
- 13. Formulaire de contact simple HTML et PHP
- 14. MySQL, PHP - Formulaires Aide
- 15. Comment augmenter vos compétences en tant que développeur php
- 16. Comment pouvez-vous exécuter vos scripts PHP lors de l'utilisation de Maven pour PHP?
- 17. Comment utiliser l'API Constant Contact?
- 18. Comment créez-vous vos usines?
- 19. formulaires de contact identiques se comportant différemment sur différents comptes d'hébergement
- 20. Comment importer facebook contact en utilisant php et se recourber
- 21. Constant Contact - wrapper PHP pour l'API REST?
- 22. API de contact stockant le contact comme un contact invisible: comment le rendre visible?
- 23. Comment supprimer un contact?
- 24. Formulaire de contact Listes noires de domaine (en utilisant java, html ou php)
- 25. Passer une valeur de PHP au formulaire de contact SimpleModal
- 26. comment construisez-vous vos appareils?
- 27. Comment faire tester vos clients
- 28. Comment localiser vos applications iPhone?
- 29. Comment renouveler vos sous-vues?
- 30. Comment stockez-vous vos ventes?
L'injection sql n'est pas la seule menace. – rook
une autre menace est le spamming à des masses de cc cc de votre serveur – Haroldo