Как защитить сайт на php?

Как улучшить эту чудо-защиту, при условии,что я это использую как только для майсикла? Мне челик посоветовал почитать «php в подлиннике», но я просто не смогу такое прочесть(она огромная и похожа на мерзкий учебник по информатике), нет ли нормальной литературы, связанной с защитой php кода и вообще php?

Вон из отрасли и никогда не возвращайся.

htmlspecialchars при выводе данных из бд на страницу

Вон из отрасли и никогда не возвращайся.

А в чем проблема? Ъ программисты должны читать только книжки ОТ 800 страниц, которые начинаются с определений всего и вся, от букв русского алфавита, до описание того как процессор на сервер где работает php складывает числа? И только на предпоследней странице будет реальный пример, но будет он на php1, ибо для php2 книга еще только пишется?

Сначала защити его от php.

Инженеры обычно умеют читать. И нередко они читают документацию.

Откройте для себя параметры в запросах sql. И регулярные выражения.

Ответ на твой вопрос есть в любой книжке, где про передачу данных глава. Осиль прочесть.

Что мешает прочесть только главы относящиеся к работе с Б/Д и выводом данных на страницу?

man sql bind parameters

Фреймворки юзай, а не велосипеды изобретай. Там должны быть PreparedStatements или другие механизмы против инъекций.

https://www.bobby-tables.com/php

А в чем проблема? Ъ программисты должны читать только книжки ОТ 800 страниц, которые начинаются с определений всего и вся, от букв русского алфавита, до описание того как процессор на сервер где работает php складывает числа? И только на предпоследней странице будет реальный пример, но будет он на php1, ибо для php2 книга еще только пишется?

Программисты должны быть инженерами, а не макакой, сходившей на «курсы». Программисты должны быть инженерами, а не макаками, которые сами признаются, что не способны прочитать книгу.

И почему вам в голову не приходят вопросы «а что тру-строители должны знать свойства материалов?». «А что, тру-врачи должны знать анатомию и читать книги, где только в конце пишут как резать»?

Фу блин.

Что мешает прочесть только главы относящиеся к работе с Б/Д и выводом данных на страницу?

Отсутствие мозга, умения учиться, общего базового образования и цели в жизни.

а что тру-строители должны знать свойства материалов?

А что, знают? Судя по результатам не очень.

А что, тру-врачи должны знать анатомию и читать книги, где только в конце пишут как резать

Вся современная медицина работает по утверждённым протоколам. Знать они должны только их, а обучаться даже вредно.

Но кто-то же эти протоколы разрабатывает

Вся современная медицина работает по утверждённым протоколам. Знать они должны только их, а обучаться даже вредно.

Что вы хотите доказать? Что быть неграмотным нормально? Сами-то небось хотите жить в нормально построенном доме и лечиться у нормального врача, а тут рассказываете сказки какие-то.

нет ли нормальной литературы, связанной с защитой php кода и вообще php

Есть. «PHP в подлиннике». И еще «PHP: объекты, шаблоны и методики программирования. 5-е издание»

Как улучшить эту чудо-защиту

Про prepared statements тут уже написали: это простой и изящный способ снять с себя ответственность за экранирование строк для внедрения в запрос SQL.

Что вызывает отторжение, так это сам подход:

1. mysql_fix_string – это не исправляет строку, а экранирует для одной конкретной цели; вот само название уже даёт намёк, что функция будет калечить;
2. наличие в ней stripslashes предполагает, что ты допускаешь запуск этой функции больше одного раза, но эта функция, опять же, не волшебная пилюля, которая делает твоим данным зашибись; даже наоборот, для любой иной цели она их портит;
3. stripslashes не является обратной функцией mysqli::escape_string, т.е. никаких гарантий, что при $str = mysql_fix_string($str) всегда истинно $str === mysql_fix_string($str) нет;
4. ну и чтобы точно дошло: с prepared statements это просто не нужно.

дЪявол в мелочах и их понимании. Закрывай тред и открывай книжку.

нет ли нормальной литературы, связанной с защитой php кода и вообще php?

Типа книга рецептов?

- Совет 1 - в поле xxx конфига yyy впишите значение zzz!
- Совет 2 - не используйте функцию bar!

И так далее. Наверное такое есть, только не в виде книг, а в виде постов vkoнтакте =) Или описании роликов ютуba =)

Ну возможно и книга есть типа "1000 и одно кривое место php и как их избежать "

Программисты должны быть инженерами, а не макаками

Отвратительная ложь. Все зависит от критичности проекта. То есть если кодер умеет что-то кодить, а заказчику не важна безопасность и надежность, а критична лишь цена - то почему бы и не нанять макаку? Мы живем в реальном мире, хай кволити инженеров на все проекты не хваатит.

Используй PDO, там все сделано за тебя. Ну а для вывода используй любой шаблонизатор или преобразовывай символы.

Про то и другое можно прочитать в книгах о которых тут уже писали.

и похожа на мерзкий учебник по информатике

мерзкий учебник по информатике

Ой-вей, шо ви таки имеете против учебника по информатике?

Программисты должны быть инженерами, а не макакой, сходившей на «курсы».

Но как связан инженер, и желание читать книгу которая мало относится к твоей конкретной сегодняшней проблеме?

Программисты должны быть инженерами, а не макакой

Что тут, черт возьми, значит слово должны? Кому они должны? Может быть тем кто им платит деньги? (неа, работодателям плевать, им главное чтоб задачи делались). Друзьям / родственникам? Им главное чтоб деньги были. Одноклассникам? Им главное чтоб не ботанил сильно, и контрольные давал списывать.

Так кому он должен то, а????

Отечеству и лично доктору Мэтью Ричарду Столлману.

function mysql_fix_string

Use doctrine, luke. И возвращайся через пять лет.

вариант номер один - читать книгу и разбираться. вариант номер два - нанять того, кто уже прочитал книгу и разбирается. вариант номер три - наговнякать без понимания сути и пролюбить защиту сервера.

Тоже вон из отрасли.

Но как связан инженер, и желание читать книгу которая мало относится к твоей конкретной сегодняшней проблеме?

Проблема общее незнание матчасти. Ему ешё и про SQL надо читать, скорее всего...

Так кому он должен то, а????

Себе, чтобы его на бутылку не посадили работодатели, когда их хакнут и уведут бабосы. Ну если на бутылке сидеть хочет, то не должен.

ну так очевидно что подходит только третий, ибо [code]

1. Нет времени (а 800 страниц читаются не быстро)
2. Я так понял он либо 2.а) фрилансер и зарабатывает на этом 2.б) предприниматель без денег и по этому сам пытается писать код [/code]

И вот твой третий вариант

наговнякать без понимания сути и пролюбить защиту сервера.

Он и хочет минимизировать риски. Предположу что он хочет БЕЗ понимания сути НЕ ПРОЛЮБИТЬ защиту сервера. И это его желание выглядит более чем адекватным

И невозможным. Поэтому ему или учиться или в job.

Проблема общее незнание матчасти.

Ну понятно что в идеальном мире мамкиного программиста из LOR каждый кто посмел себя так назвать (А он вроде даже и не называл себя программистом) должен быть богом, знать всю матчасть всех связанных дисциплин, кодить не меньше 10 часов в день, не меньше 4 тратить на чтение новых знаний о мире кода, а во сне (Ибо там мышление абстрактно бредовое) выдумывать новые парадигмы.

Но реальность разбивается о том что есть задача, и ее нужно решать. А не ИГРАТЬ в программиста.

Себе, чтобы его на бутылку не посадили работодатели, когда их хакнут и уведут бабосы. Ну если на бутылке сидеть хочет, то не должен.

Вижу полное не понимая того как работает реальный мир. Он низкооплачиваемый разработчик которого наняли бедные предприниматели, или он сам бедный предприниматель. Какая к черту бутылка, он что по твоему работает на «Рога и копыта, а в случае провала тебе бутылка ООО» где есть 50 человек, из которых 48 бандиты, 1 уборщица, и директор"?

Сами-то небось хотите жить в нормально построенном доме и лечиться у нормального врача

Хочу, но реальность жестока.

а тут рассказываете сказки какие-то

У меня тут просто родственник болеет. Всё вижу своими глазами. Рад бы, чтобы я сказки рассказывал, но увы.

Ну не спорю. Но способных на это единицы. И не всегда, бывает, они правы.

а кто сказал, что профессия программиста - это «быстро»? нет, это не быстро и не просто. нужно затратить время и определённые усилия, чтобы научиться что-то делать качественно.

или он сам бедный предприниматель

банк садит на бутылку, т.к. у бедного предпринимателя предприятие в кредит

Он низкооплачиваемый разработчик которого наняли бедные предприниматели

А думаешь бедный предприниматель захочет 1 на бутылке сидеть? Он сядет экономически и возможно юридически, а исполнитель сядет и экономически (как минимум премии лишат) и скорее всего юридически, если косяк будет с последствиями. Мир несправедлив, начальство на бутылке сидеть не хочет и практически никогда не будет. Думаешь, когда тебе в новостях пишут, что в метро поезд сломался по вине машиниста, это всегда машинист виноват? В половине случаев он как раз крайний, а поломка из-за того что кто-то украл или начальство плохо работу сделало, инсайдерская инфа если что.

А он вроде даже и не называл себя программистом

Тогда зачем он пишет код на PHP? Я вот не сварщик и сварочным аппаратом заборы не варю, нанимаю для этого специально обученных людей, которые умеют нормально варить.

знать всю матчасть всех связанных дисциплин

да

кодить не меньше 10 часов в день

нет, а вот накодить не меньше 10k часов это да

не меньше 4 тратить на чтение новых знаний о мире кода

не меньше 2-ух

а во сне (Ибо там мышление абстрактно бредовое) выдумывать новые парадигмы

Их вообще придумывать не надо, они уже придуманы. И вообще придумыванием парадигм не программисты занимаются, а computer scientists

И вообще придумыванием парадигм не программисты занимаются, а computer scientists

знать всю матчасть всех связанных дисциплин (твой ответ да)

Ах, боюсь тогда спросить, если программист должен знать всю матчасть связанных дисциплин, что же тогда должен знать computer scientists ???

А думаешь бедный предприниматель захочет 1 на бутылке сидеть? Он сядет экономически и возможно юридически, а исполнитель сядет и экономически (как минимум премии лишат) и скорее всего юридически, если косяк будет с последствиями.

Посмею предположить что он работает без какого либо договора.

fapchat2 внеси ясность. Ты фрилансер / предприниматель? Работаешь по договору / без ?

банк садит на бутылку, т.к. у бедного предпринимателя предприятие в кредит

Ну так если предприятие в кредит то нужно начать зарабатывать деньги чтоб отдать уже завтра, а не тратить год на чтение 800 страниц, и только потом кодить. Чем парируешь? Небось тем что нужно было сначала прочитать 800 страниц, а потом брать кредит? Но тогда

а) Предположит он таки ошибся и уже взял кредит

б) Если он еще не ошибся, то кроме того как читать 800 страниц про php ему нужно еще N тысяч про бизнес, а так и умереть можно. По этому нужно пилить быстро MVP, а не играть в бизнесмена / программиста

Тот кто знает не только связанные непосредственно с программированием и областью в которой он работает программистом.

Ну так если предприятие в кредит то нужно начать зарабатывать деньги чтоб отдать уже завтра, а не тратить год на чтение 800 страниц, и только потом кодить. Чем парируешь? Небось тем что нужно было сначала прочитать 800 страниц, а потом брать кредит? Но тогда

Если ты занялся бизнесом то тебе таки надо читать про бизнес и нанять программиста. Если ты думаешь, что ты в одно рыло бизнеесмен, то ты ССЗБ.

Если ты думаешь, что ты в одно рыло бизнеесмен, то ты ССЗБ.

Я не удачный предприниматель, по этому не буду спорить с тобой от своего имени. Но скажу например одну книгу где говорится наоборот - rework

Книги по бизнесу, как правило, сами по себе бизнес по надувательству. Читать надо законы, экономику и психологию.

Книги по бизнесу, как правило, сами по себе бизнес по надувательству

А были ли прочтина хоть одна тобой? Ибо звучит это заявление как стереотип какое-то, а не личное мнение

В случае с rework - это создатели Ruby on Rails

как правило

Хотя ты не заявляешь что они ВСЕ таки, а лишь большинство. Тогда может ты и прав, смотря как это большинство оценивать. Те которые мне попадались были более чем полезные

Может просто ему кто-то скажет что такое ORM??