Безопасность , Обсуждение вопросов безопасности приложений

Прошу грамотных программеров высказаться по вопросам безопасности приложений на PHP\JS,в том числе относительно RADPHP примерно в таком плане
1) Проблемы безопасности-общие вопросы,слабые стороны WEB-технологий и т.д.
2) Чего категорически нельзя делать в PHP\JS
3) Как надо делать то-то и то-то ну и т.д.

Сообщение отредактировано: Alex2011 - 25.04.11, 07:11

да все тоже самое что для php. единственный нюанс которого возникне это отключить глобальные переменный. во многих статьях по безопасности эту возможность рекомендуется отключать. но сама библиотека VCLforPHP сплошь и рядом это использует.

Сообщение отредактировано: ViktorXP - 25.04.11, 09:49

статей валом
или не искал и сразу сюда ?
http://www.google.com/search?q=%D0%B1%D0%B5%D0%B7%D0%BE%D0%BF%D0%B0%D1%81%D0%BD%D0%BE%D1%81%D1%82%D1%8C+php&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
http://www.google.com/search?q=%D0%B1%D0%B5%D0%B7%D0%BE%D0%BF%D0%B0%D1%81%D0%BD%D0%BE%D1%81%D1%82%D1%8C+php&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8#sclient=psy&hl=ru&rls=com.microsoft:en-US&source=hp&q=%D0%B1%D0%B5%D0%B7%D0%BE%D0%BF%D0%B0%D1%81%D0%BD%D0%BE%D1%81%D1%82%D1%8C+javascript&aq=f&aqi=&aql=&oq=&pbx=1&fp=33fe34af47ab215d

с другой стороны надо ещё сайт постараться сделать такой, что бы защищать стоило
в большинстве случаев восстановления из бекапа достаточно

Да признаться не искал особо,считая что неплохо было бы "все в одном флаконе" иметь,что гораздо удобней кажется.
Что связано с безопасностью PHP это,конечно,понятно.

Цитата

другой стороны надо ещё сайт постараться сделать такой, что бы защищать стоило
в большинстве случаев восстановления из бекапа достаточно

Против восттановления ничего не имею,однако вопрос немного по-другому-как не допустить до этого
Спасибо за ссылки.

Вырезка с книги:
Для удаления опасной информации в языке РНР предназначены две полезных функции
- strip_tags ( ). Эта функция позволяет удалить из текста все дескрипторы, хотя можно указать, какие из них следует оставить.
- htmlspecialchars (). Эта функция позволяет преобразовать некоторое специальные символы HTML в другой формат. При этом они будут отображаться без учета их специального назначения.
Например:
< преобразовывается в <
> преобразовывается в >
& преобразовывается в &amp.
Удаление из полученной информации всех дескрипторов позволит существенно повысить безопасность. Например, для удаления всех дескрипторов можно воспользоваться выражение $last_name = strip_tags($last_name);
При вызове функции strip_tags() интерпретатор РНР выполнит поиск в строке $last_name символа начала дескриптора < и удалит все символы, вплоть до символа > или конца строки. При этом можно указать, какие дескрипторы удалять не следует:
$last_name = strip_taga(Slast_name, '<b><i>" ) ;
В этом случае в строке $last_name будут удалены все дескрипторы, кроме <b> и <i>.
Однако в некоторых случаях символы < и > не нужно связывать с дескрипторами, например при их использовании в качестве символов математических операций. Их можно преоб¬разовать в такие символы, которые не будут интерпретироваться как дескрипторы HTML. Для этого необходимо воспользоваться следующей функцией htmlspecialchars ( ) : $message = htmlspecialchars(Smessage);