Hei!
Luin tuossa noin jostakin, että Ylen sivuilla oli häiriköity ja sinne oli nimenomaan päästy häiriköimään huonon tietoturvan johdosta. Samassa yhteydessä viitattiin include -toimintoon. Käytän sitä paljon, koska se helpottaa sivujen päivitettävyyttä esim. linkkivalikoiden osalta, kun on paljon sivuja. Onko olemassa jotain turvallisempaa vaihtoehtoa ja mikä tekee ed. mainitusta huonon?
Kuinka muuten voin lisätä php:lla toteutetuilla sivuilla tietoturvaa. Nykyisillä sivuillani php:tä käytetään tiedon hakemiseen tietokannoista erilaisiksi listauksiksi. Sivuilla ei ole mahdollista käyttäjän syöttää tietoa tietokantoihin esim. lomakkeilla ja ylläpitokin hoituu ihan eri kautta.
Valaisisiko joku php:n tietoturvasta minua edes hieman? Kiitos!
No toi varmaan johtu siitä et ne ei ollu estäny jonku tietyn tiedoston includaamista ja sit joku oli keksiny sen tiedoston nimen, includettanu sen ja lopputulos oli toi.
Jos käytät include-komentoa tähän tapaan,
<?php include("linkit.php"); ?>
ei minkäänlaista tietoturva-aukkoa ole. Sillä eihän käyttäjä pysty tiedostonimeen vaikuttamaan, kun se on suoraan koodissa määritetty. Tällainen käyttö taas saattaa olla vaarallista,
<?php include($sivunnimi); ?>
jos $sivunnimi-muuttujaa ei tarkisteta; nyt käyttäjä pystyy kirjoittamaan minkä tahansa palvelimella olevan tiedoston nimen sivun osoitteeseen (esim. skripti.php?sivunnimi=salainen.txt) ja skripti näyttää sen mukisematta. YLEn tapauksessa taisi olla tästä asiasta kyse.
Aiheeseen liittyvää keskustelua:
https://www.ohjelmointiputka.net/keskustelu/3180-index-php-sivu
Aihe on jo aika vanha, joten et voi enää vastata siihen.