ноябрь
22
2006
Не зря люди говорят что "Все гениальное просто, но не все простое гениально". Хотелось бы представить вам новую возможность безопасности ядра скрипта от проведения XSS атак и MySQL инъекций. Более 90% различного рода атак и сканирований происходит путем манипуляции строкой браузера и передачей зловредного кода методом GET. На данный момент безопасность сводилась к тщательной фильтрации входящих данных, и переменные очищались от возможного зловредного кода. Это дает безопасность самого скрипта, но если установлен сторонний модуль, то безопасность сайта зависит уже от того побеспокоился ли об этом автор или нет. Да и не всегда удается качественно очистить входящий код, некоторые переменные могут быть забыты. После недолго размышления над этим пришла довольно простая мысль достаточно проверить строку URL браузера на наличие 3 символов чтобы полностью исключить возможность XSS и MySQL инъекций, а также исключить сканирование скрипта на наличие уязвимых переменных. Данная возможность будет включена в новую версию скрипта 5.2. Но данная версия еще находится на стадии разработки, поэтому я предлагаю вам воспользоваться этой возможностью уже сейчас.