PHPBuilder.com, the best resource for PHP tutorials, templates, PHP manuals, content management systems, scripts, classes and more.

Index: phpdoc/hu/chapters/security.xml diff -u phpdoc/hu/chapters/security.xml:1.6 phpdoc/hu/chapters/security.xml:1.7 --- phpdoc/hu/chapters/security.xml:1.6 Sun Oct 29 06:10:25 2000 +++ phpdoc/hu/chapters/security.xml Sun Oct 29 08:12:12 2000 @@ -4,14 +4,14 @@ A PHP egy igen hat�kony nyelv �s feldolgoz� program, ak�r a szerverben egy modulk�nt van jelen, ak�r egy k�l�n�ll� - CGI futtathat� �llom�nyk�nt m�k�dik, k�pes el�rni file-okat, futtatni - parancsokat �s h�l�zati kapcsolatokat nyitni a szerveren. Ezek a - tulajdons�gok alapesetben vesz�lyess� is tehetik m�s, a webszerveren - fut� alkalmaz�sok sz�m�ra. A PHP-t �gy fejlesztett�k, hogy biztons�gosabb - legyen CGI programok �r�s�ra, mint a Perl vagy C nyelvek. A PHP a ford�t�si - �s fut�sidej� be�ll�t�sok helyes v�laszt�s�val, �s megfelel� kodol�si - st�lus haszn�lat�val megadja neked a szabads�g �s biztons�g megfelel� - kombin�ci�j�t. + CGI futtathat� �llom�nyk�nt m�k�dik, k�pes el�rni + f�jlokat, futtatni parancsokat �s h�l�zati kapcsolatokat nyitni a + szerveren. Ezek a tulajdons�gok alapesetben vesz�lyess� is tehetik m�s, + a webszerveren fut� alkalmaz�sok sz�m�ra. A PHP-t �gy fejlesztett�k, + hogy biztons�gosabb legyen CGI programok �r�s�ra, mint a Perl vagy + C nyelvek. A PHP a ford�t�si �s fut�sidej� be�ll�t�sok helyes + v�laszt�s�val, �s megfelel� kodol�si st�lus haszn�lat�val megadja + neked a szabads�g �s biztons�g megfelel� kombin�ci�j�t. Mivel sok k�l�nb�z� form�ja van a PHP haszn�lat�nak, sz�mos @@ -57,14 +57,14 @@ - Rendszerfile-ok el�r�se: http://domain.nev/cgi-bin/php?/etc/passwd Az URL lek�r�si inform�ci�ja (query information), ami a k�rd�jel (?) ut�n tal�lhat�, parancssori param�terk�nt ker�l �tad�sra a feldolgoz�nak. �ltal�ban a feldolgoz�k megnyitj�k, - �s lefuttatj�k az els� param�terk�nt adott file-t. + �s lefuttatj�k az els� param�terk�nt adott f�jlt. Ha a PHP CGI futtathat� �llom�nyk�nt h�v�dik meg, nem veszi figyelembe @@ -78,23 +78,23 @@ Az el�r�si �t inform�ci� (path information) az URL r�sze, a - futtathat� file neve ut�n l�v� + futtathat� f�jl neve ut�n l�v� /titkos/doc.html a CGI program �ltal megnyit�sra �s futtat�sra ker�l� - file el�r�s�nek meghat�roz�s�ra haszn�latos. + f�jl el�r�s�nek meghat�roz�s�ra haszn�latos. Tipikusan n�h�ny web server be�ll�t�si lehet�s�g (Apache-ban: Action) haszn�latos a k�r�sek �tir�ny�t�s�ra a dokumentumhoz, mint a - http://domain.nev/titkos/script.php3 + http://domain.nev/titkos/szkript.php a PHP interpreter sz�m�ra. Ezzel a be�ll�t�ssal a szerver el�sz�r ellen�rzi az el�r�si enged�lyeket a /titkos k�nyvt�rra, �s ezut�n �ll�tja el� az �tir�ny�t� k�r�st a http://domain.nev/cgi-bin/php/titkos/script.php3 + role="url">http://domain.nev/cgi-bin/php/titkos/szkript.php oldalra, amit �gy m�r a PHP feldolgoz. Azonban ha eredetileg is ebben a form�ban volt megadva a k�r�s, nem t�rt�nik el�r�si ellen�rz�s a /titkos/script.php3 file-ra, csak a - /cgi-bin/php file-ra. Ilyen m�don + role="uri">/titkos/szkript.php f�jlra, csak a + /cgi-bin/php f�jlra. Ilyen m�don b�rki, aki el�rheti a /cgi-bin/php c�met, egyben tetsz�leges v�dett dokumentumot is el�rhet. @@ -114,7 +114,7 @@ - 1. eset : csak publikus file-ok + 1. eset : csak publikus f�jlok Ha a szerveren nincs olyan tartalom, ami jelsz� vagy IP alap� @@ -123,12 +123,12 @@ illetve ha a szervernek nincs m�dja biztons�gos �tir�ny�t�ssal k�ldeni a k�r�st a PHP sz�m�ra, megadhatod az --enable-force-cgi-redirect - opci�t a "configure" script sz�m�ra. Meg kell gy�z�dn�d arr�l, hogy - a PHP script-jeid nem f�ggnek egy speci�lis script h�v�si form�t�l + opci�t a "configure" szkript sz�m�ra. Meg kell gy�z�dn�d arr�l, hogy + a PHP szkriptjeid nem f�ggnek egy speci�lis szkript h�v�si form�t�l sem, mint a http://domain.nev/cgi-bin/php/dir/script.php3 + role="php">http://domain.nev/cgi-bin/php/dir/szkript.php vagy a http://domain.nev/dir/script.php3. + role="php">http://domain.nev/dir/szkript.php. Az �tir�ny�t�s be�ll�t�sa Apache alatt az @@ -140,7 +140,7 @@ 2. eset : az --enable-force-cgi-redirect haszn�lata Ez a ford�t�si opci� megakad�lyozza, hogy b�rki megh�vja a PHP-t egy http://domain.nev/cgi-bin/php/titkos/script.php3. + role="php">http://domain.nev/cgi-bin/php/titkos/szkript.php. URL-el. Ehelyett a PHP csak akkor fog elfogadni egy ilyen k�r�st ha egy szerver �tir�ny�t�sban kapta. @@ -149,8 +149,8 @@ @@ -168,53 +168,53 @@ 3. eset : a doc_root vagy user_dir be�ll�t�sa Akt�v tartalom elhelyez�se a norm�l dokumentumok k�z�tt, - (pl. scriptek �s futtathat� �llom�nyok) vesz�lyes gyakorlat lehet. - Ha p�ld�ul valamilyen be�ll�t�si hiba miatt a scriptek ahelyett, + (pl. szkriptek �s futtathat� �llom�nyok) vesz�lyes gyakorlat lehet. + Ha p�ld�ul valamilyen be�ll�t�si hiba miatt a szkriptek ahelyett, hogy lefutn�nak hagyom�nyos HTML dokumentumokk�nt jelennek meg, mindenki sz�m�ra tiszt�n l�that� v�lnak k�dol�si technik�id �s pl. adatb�zis jelszavaid. Ez�rt n�h�ny rendszeradminisztr�tor ink�bb egy k�l�n k�nyvt�rat jel�l ki, ami csak a PHP CGI �ltal el�rhet�, �s �gy mindig feldolgoz�sra ker�l �s nem jelenik meg - a script k�dja. + a szkript k�dja. Ha a fent le�rt �tir�ny�t�s azonos�t�si m�d nem m�k�dik, - fontos, hogy egy k�l�n�ll� script doc_root-ot hat�rozz meg, + fontos, hogy egy k�l�n�ll� szkript doc_root-ot hat�rozz meg, ami nem azonos a web doc_root-al. - A PHP script dokumentumok gy�k�rk�nyvt�r�t a + A PHP szkript dokumentumok gy�k�rk�nyvt�r�t a doc_root konfigur�ci�s be�ll�t�ssal hat�rozhatod meg a - konfigur�ci�s file-ban, vagy a + konfigur�ci�s f�jlban, vagy a PHP_DOCUMENT_ROOT k�rnyezeti v�ltoz�ban adhatod meg - ezt az �rt�ket. Ha ez be van �ll�tva a PHP CGI verzi�ja a file + ezt az �rt�ket. Ha ez be van �ll�tva a PHP CGI verzi�ja a f�jl el�r�si �tj�t a doc_root �s a k�r�s el�r�si �t inform�ci�ja (path information) alapj�n �ll�tja el�, ami azt - jelenti, hogy ezen a k�nyvt�ron k�v�l nem futtathat� file. + jelenti, hogy ezen a k�nyvt�ron k�v�l nem futtathat� f�jl. (kiv�ve a user_dir eset�t). Egy m�sik itt haszn�lhat� opci� a user_dir. Ha ez nincs megadva, csak a - doc_root szab�lyozza a megnyithat� file-ok + doc_root szab�lyozza a megnyithat� f�jlok k�r�t. Ekkor egy http://domain.nev/~user/doc.php3 URL nem a - "user" nev� felhaszn�l� home k�nyvt�r�ban l�v� file-t keresi, hanem - a ~user/doc.php3 file-t keresi a + role="url">http://domain.nev/~user/doc.php URL nem a + "user" nev� felhaszn�l� home k�nyvt�r�ban l�v� f�jlt keresi, hanem + a ~user/doc.php f�jlt keresi a doc_root alatt (igen, egy tilde karakterrel kezd�d� k�nyvt�rban [~]). Ha a user_dir meg van adva, p�ld�ul public_php, akkor a fenti http://domain.nev/~user/doc.php3 k�r�s a - doc.php3 nev� file-t fogja megnyitni a "user" + role="url">http://domain.nev/~user/doc.php k�r�s a + doc.php nev� f�jlt fogja megnyitni a "user" nev� felhaszn�l� home k�nyvt�r�ban l�v� public_php k�nyvt�rban. Ha a "user" home k�nyvt�ra /home/user, - a lefuttatand� file a - /home/user/public_php/doc.php3 lesz. + a lefuttatand� f�jl a + /home/user/public_php/doc.php lesz. A user_dir kifejt�s a @@ -230,7 +230,7 @@ Egy rendk�v�l biztons�gos lehet�s�g, ha a PHP feldolgoz�t valahol a web-en l�that� k�nyvt�rakon k�v�lre teszed. P�ld�ul a /usr/local/bin k�nyvt�rba. Az egyetlen - igazi h�tr�nya ennek az opci�nak az, hogy minden PHP script + igazi h�tr�nya ennek az opci�nak az, hogy minden PHP szkript els� sor�nak egy ehhez hasonl� sort kell megadnod: @@ -240,7 +240,7 @@ ami megadja, hogy hol tal�lhat� a PHP feldolgoz�, ami lefuttatja majd ezt - a scriptet. R�ad�sul minden PHP scriptednek fut�si jogot kell adni. + a szkriptet. R�ad�sul minden PHP szkriptednek fut�si jogot kell adni. Azaz �gy kell elj�rni, mint b�rmilyen m�s CGI programmal, amit Perl, sh vagy b�rmilyen m�s nyelven �rsz �s a #! shell-escape mechanizmust haszn�lja saj�tmaga futtat�s�ra. @@ -265,22 +265,22 @@ P�ld�ul ha PHP-t haszn�lsz egy adatb�zis el�r�s�hez, annak ellen�re, hogy az adatb�zisnak be�p�tett azonos�t�sa van, az adatb�zist el�rhet�v� kell tenned a "nobody" user sz�m�ra is. Ez azt jelenti, - hogy egy rosszindulat� script el�rheti, �s m�dos�thatja az adatb�zist, + hogy egy rosszindulat� szkript el�rheti, �s m�dos�thatja az adatb�zist, ak�r felhaszn�l�i n�v �s jelsz� n�lk�l is. Lehets�ges, hogy egy keres�robot beleakadjon az adatb�zis-adminisztr�ci�s lapodba, �s ki�r�tse az �sszes adatb�zist. Term�szetesen ez ellen v�dekezhetsz Apache azonos�t�si technik�kkal, vagy elk�sz�theted a saj�t el�r�si modelledet LDAP seg�ts�g�vel, k�sz�thetsz - .htaccess file-t, stb. �s a PHP k�doddal egy�tt kezelheted + .htaccess f�jlt, stb. �s a PHP k�doddal egy�tt kezelheted ezeket is. �ltal�ban, ha a biztons�got akkora szintre tudjuk emelni, hogy a PHP user (ebben az esetben az Apache user) igen kis kock�zattal - fut, nem k�pes p�ld�ul v�rus file-ok �r�s�ra a user k�nyvt�rakba. + fut, nem k�pes p�ld�ul v�rus f�jlok �r�s�ra a user k�nyvt�rakba. Letilthatjuk sz�m�ra egy pr�v�t adatb�zis el�r�s�t vagy megv�ltoztat�s�t. Tipikusan ebben a helyzetben m�r azokat - a file-okat sem tudja �rni, amit kellene, vagy nem tud + a f�jlokat sem tudja �rni, amit kellene, vagy nem tud v�grehajtani adatb�zis lek�r�seket. @@ -295,30 +295,30 @@ - File-rendszer biztons�g + F�jlrendszer biztons�g A PHP tiszteli a rendszerbe �p�tett biztons�gi megold�sokat, - k�l�n�s figyelemmel a file-okra �s k�nyvt�rakra be�ll�tott + k�l�n�s figyelemmel a f�jlokra �s k�nyvt�rakra be�ll�tott jogosults�gokra. Ez lehet�s�get ad arra, hogy megszabd, - mely file-ok olvashat�ak a rendszerben. A mindenki sz�m�ra - olvashat� file-okn�l �gyelni kell arra, hogy ne tartalmazzanak + mely f�jlok olvashat�ak a rendszerben. A mindenki sz�m�ra + olvashat� f�jlokn�l �gyelni kell arra, hogy ne tartalmazzanak olyan fontos adatot, amit nem szabad, hogy elolvasson ak�rmelyik user a rendszeren. - Mivel a PHP �gy k�sz�lt, hogy felhaszn�l�i szint� file-rendszer + Mivel a PHP �gy k�sz�lt, hogy felhaszn�l�i szint� f�jlrendszer hozz�f�r�st ad, lehets�ges olyan program k�sz�t�se, ami a - rendszer file-okat olvassa, pl. az /etc/password file-t. Ez + rendszer f�jlokat olvassa, pl. az /etc/password f�jlt. Ez maga ut�n von egy nyilv�nval� k�vetkeztet�st, hogy meg kell - gy�z�dn�d a programjaidban, hogy az helyes file-okat olvasod + gy�z�dn�d a programjaidban, hogy az helyes f�jlokat olvasod illetve �rod. - N�zz�k a k�vetkez� scriptet, ahol a user megadja, hogy - le szeretne t�r�lni egy file-t a k�nyvt�r�ban. Ez t�bbnyire + N�zz�k a k�vetkez� szkriptet, ahol a user megadja, hogy + le szeretne t�r�lni egy f�jlt a k�nyvt�r�ban. Ez t�bbnyire egy webes fel�letet jelent, ahol egy PHP program haszn�latos - filekezel�sre, ez�rt az Apache usernek enged�lyezni kell - a file-ok t�rl�s�t a user felhaszn�l� k�nyvt�r�ban. + f�jlkezel�sre, ez�rt az Apache usernek enged�lyezni kell + a f�jlok t�rl�s�t a user felhaszn�l� k�nyvt�r�ban. @@ -326,7 +326,7 @@ Mivel a usern�v egy HTML �rlapb�l �rkezik, a felhaszn�l� be�rhat - tetsz�leges usernevet �s file-t, �gy ak�r m�s k�nyvt�r�t + tetsz�leges usernevet �s f�jlt, �gy ak�r m�s k�nyvt�r�t is manipul�lhatja. Ebben az esetben �ltal�ban valamilyen felhaszn�l�-azonos�t�si elj�r�st kell alkalmaznod. L�ssuk, mi t�rt�nik, ha a beadott v�ltoz�k a "../etc/" �s a "passwd". A k�d akkor �gy alakulna (az adatokat behelyettes�tve): - ... file-rendszer t�mad�shoz vezethet + ... f�jlrendszer t�mad�shoz vezethet - Minden bej�v� file-al kapcsolatos adat ellen�rz�se. + Minden bej�v� f�jlal kapcsolatos adat ellen�rz�se. - Egy fejlettebb script: + Egy fejlettebb szkript: - Biztons�gosabb file ellen�rz�s + Biztons�gosabb f�jl ellen�rz�s A PHP �ltal visszaadott hiba�zenetek �ltal�ban hasznosak - a hib�kat keres� fejleszt� sz�m�ra, megjel�lve a file-t, �s + a hib�kat keres� fejleszt� sz�m�ra, megjel�lve a f�jlt, �s a f�ggv�nyt, ami hib�s, megadva a megfelel� programsor sz�m�t. Ez az �sszes inform�ci�, amit ki lehet nyerni. @@ -427,19 +427,19 @@ Egy f�ggv�nyhiba el�rulhatja, hogy a rendszer milyen - adatb�zsismotort haszn�l, vagy hogy milyen programoz�i + adatb�zismotort haszn�l, vagy hogy milyen programoz�i st�lussal k�sz�lt az adott weblap. Ez m�lyebb kutat�sokra ad lehet�s�get nyitott adatb�zisportok ir�ny�ban, vagy tipikus hib�k illletve gyenges�gek keres�s�t jelentheti. K�l�nb�z� hib�s adatok k�ld�s�vel a t�mad� meg tudja �llap�tani, hogy milyen sorrendben v�gzed az azonos�t�sokat (a hib�k sorsz�maib�l). Ezzel k�nnyen a gyenge pontok is - megtal�lhat�ak egy scriptben. + megtal�lhat�ak egy szkriptben. - A filerendszer vagy �ltal�nos PHP hib�k jelezhetik, hogy + A f�jlrendszer vagy �ltal�nos PHP hib�k jelezhetik, hogy milyen jogokkal rendelkezik a webszerver, �s megmutathatja - a file-ok elrendez�s�t �s strukt�r�j�t. + a f�jlok elrendez�s�t �s strukt�r�j�t. H�rom megold�si lehet�s�g ad�dik erre a probl�m�ra. Az els�, @@ -466,7 +466,7 @@ - Biztos, hogy ez a script csak a k�v�nt file-okat fogja m�dos�tani? + Biztos, hogy ez a szkript csak a k�v�nt f�jlokat fogja m�dos�tani? @@ -496,12 +496,12 @@ - Haszn�lhat�-e az adott script nem k�v�natos form�ban? + Haszn�lhat�-e az adott szkript nem k�v�natos form�ban? - Felhaszn�lhat�-e m�s scriptekkel egy�tt egy negat�v + Felhaszn�lhat�-e m�s szkriptekkel egy�tt egy negat�v hat�s el�r�s�re? @@ -512,7 +512,7 @@ - Kell�k�ppen �tgondolva a fenti k�rd�seket a script �r�sakor, + Kell�k�ppen �tgondolva a fenti k�rd�seket a szkript �r�sakor, megk�m�lheted magad, hogy k�s�bb v�giggondolva a probl�m�kat szerencs�tlen m�don �jra kelljen �rnod a teljes k�dot a biztons�goss�g n�vel�se �rdek�ben. Ezzel sem tudod