Come proteggere correttamente OO PHP CMS?

2

Ho un'applicazione OO PHP che serve pagine e che elabora la carta di pagamento tramite gateway di pagamento RBS esterno. C'è anche un database di segnalazione. Il problema è che quando qualcuno sfrutta questo PHP, ottiene l'accesso a tutte le informazioni su tutti gli utenti e ad altri report oltre a poter modificare le pagine tramite SQL. C'è anche l'admin, che si trova in una cartella separata (admin /). Ci sono 100 siti Web che puntano alla stessa radice del documento e ci sono dozzine di vari moduli con potenziali bug. Hai qualche metodo preferibile per questo? Attualmente funziona con Ubuntu 12. Il CMS che ho creato io stesso, è composto da diversi moduli, sia per frontend che per backend.

Aggiornamento: è un'applicazione multi-tenant.

    
posta Andrew Smith 22.06.2012 - 12:46
fonte

2 risposte

1

Se stai utilizzando un'applicazione di terze parti, sei in balia della sicurezza. Se non hanno seguito le corrette pratiche di sicurezza nello scrivere il loro codice (e anche se la maggior parte degli sviluppatori PHP non lo fanno), la tua applicazione è probabilmente sfruttabile. A quel punto, l'unica cosa che puoi davvero fare è controllare i danni.

Se ti trovi in quella situazione, allora quello che vuoi è l'isolamento. Prova a dividere la tua applicazione o il tuo sito o il tuo flusso di lavoro o il tuo server in zone separabili separatamente. Ognuno ha le proprie credenziali del server e il proprio set di autorizzazioni, e la comunicazione tra di loro avviene solo in base a un protocollo ben definito e limitato piuttosto che alla semplice condivisione di risorse. In questo modo se una violazione avviene in un'area, non può essere sfruttata per ottenere qualcosa di prezioso.

    
risposta data 24.06.2012 - 08:49
fonte
2

Ci sono molte cose che puoi fare per garantire la sicurezza della tua applicazione PHP, sia che l'OO non faccia davvero molta differenza.

risposta data 22.06.2012 - 16:25
fonte

Leggi altre domande sui tag