SQL-инъекции и XSS-атаки решаются путем анализа всей информации, которая попадает в ваш код (добавляет косые черты, удаляет теги "" и т. Д.); Эмуляция магических кавычек и register_globals off решили проблемы с моей точки зрения. Будьте осторожны, точно не знаю, когда, но magic_quotes устареет, поэтому не рассчитывайте на это.
Так что же это за угрозы? По моему опыту, наиболее распространенные человеческие ошибки связаны с аутентификацией. Это не означает, что пользователь не входит в систему, но это означает, что пользователь может читать / записывать информацию для других пользователей. Поэтому всякий раз, когда вы видите ссылку для удаления, подобную этой: index.php? Page = images & action = delete & id = 2, попробуйте использовать другой идентификатор изображения другого пользователя. Вы должны получить сообщение об ошибке "не ваше изображение" или что-то в этом роде. Это очень трудно проверить, поэтому вы должны рассчитывать на опыт разработчика.
Вторая самая большая проблема, с которой я столкнулся, была связана не с кодом, а с сервером. Пароли FTP были украдены вирусами (IFrame virus и др.), Либо сервер был взломан с использованием различных методов грубой силы.
Вывод таков: если вы уверены, что проверили SQL-инъекции и XSS-атаки, последнее, что вам нужно сделать, это решить проблему аутентификации (еще раз, аутентификация означает, что информация, которую вы получаете / изменяете, - ВАША). Люди, как правило, немного параноики по поводу проблем безопасности, но самые распространенные хаки - не ошибка разработчика.
Надеюсь, это поможет;
С наилучшими пожеланиями,
Gabriel