الصفحة الرئيسية>PHP كود المصدر>فئات أخرى
تنزيل

سجل زوار آمن - عرض آمن لتصميم تطبيق PHP Demo by Gleb Andreev

عن

سجل الزوار Secure هو تطبيق ويب ، مكتوب في PHP. يتم تنفيذ استمرار البيانات مع MySQL.

تمت كتابة هذا العرض التوضيحي لإظهار نهجي في الموقف "لم يكن لديك شيء سوى PHP و MySQL. تحتاج إلى كتابة تطبيق آمن. أظهر ما تستطيع".

قد يكون هذا أيضًا تحديًا لك: نشر هذا التطبيق ، وتعذيبه ، واخترقه ، وأثبت أن هناك عيوب على مستوى التطبيق. أنا متأكد بنسبة 95 ٪. أرني أنا مخطئ.

ملاحظة مهمة

هذا التطبيق لا يتعلق بإعادة اختراع العجلة. نعم ، هناك العديد من أطر عمل OpenSource و Libs الجيدة.

هذا يتعلق بالتحدي المتمثل في فهم الطبيعة الداخلية للأطر التي نستخدمها كل يوم ، وكيف تؤثر على أمن التطبيقات التي ننشئها.

المهمة

تتمثل المهمة في كتابة تطبيق تجريبي في PHP Pure مع عدم وجود libs من طرف ثالث.

التطبيق هو دفتر زوار مع OPTS التالية: اشتراك المستخدم ، تسجيل الدخول والتسجيل ، الرسائل إنشاء ، تحرير ، حذف ، إضافة الرد.

مناقشة

تتمثل المهمة في كتابة تطبيق تجريبي في PUP PHP مع عدم وجود libs من طرف ثالث لإثبات أن التصميم الصحيح هو أفضل طريقة لإنشاء تطبيقات آمنة.

على الرغم من التسخين الواضح لكتابة تطبيق بسيط بطريقة مبكرة ، هناك عيب أكثر وضوحًا في هذا النهج: يمكنك السيطرة على التطبيق وتغرق في حدود تلك البساطة المنفذة.

لذا ، نعم ، من المفيد كتابة إطار عمل MVC بسيط ولكنه وظيفي ، بدلاً من كتابة 10 نصوص PHP غير القابلة للتمديد ، مختلطة مع HTML.

المفاهيم وسير العمل

تم كتابة بيئة تشبه MVC من الصفر من الصفر لهذا العرض التوضيحي. واجهة في HTML النقي غير المليء بالتبادل.

تتم جميع المعالجة حول دورة حياة كائن الطلب الذي يتم تحوره أثناء التسلسل التالي:

  1. ابتلاع الطلب
  2. المصادقة
  3. التوجيه
  4. إعداد البيانات والحقن في طلب بواسطة وحدة التحكم
  5. عرض HTML في النظام الفرعي عرض
  6. إرسال الاستجابة

نظرًا لأن التحدي كان في المقام الأول حول كتابة تطبيق ، بقدر ما هو ممكن ، فإن القائمة التالية من mesaurs المأخوذة لفرض التطبيق:

  1. بنية واحدة تشبه MVC نقطة الدخول
  2. نطاق وقت التشغيل المعزول ، لا شيء عالمي
  3. يتم التعامل مع الأخطاء من خلال استثناءات النجاح
  4. معلمات الطلب غير المباشر الابتلاع بعد فحص العقل
  5. معلمات الطلب الكامل تطهير
  6. رد فعل استباقي تجاه المحاولات المفرطة في التنسيق مع Fail2Ban المحلي
  7. قوالب عرض ثابتة تمامًا
  8. حماية CSRF شبه شفافة لطلبات البريد
  9. مصادقة المستخدم المستندة إلى الرمز المميز
  10. تربط المستخدمين بعنوان IP
  11. تنفيذ فاشلة شبه متجانسة نصف بارانويد ، والتعامل مع كل من الأخطاء والطلب الإيقاع
  12. معلمات MySQL مأخوذة من Env Vars
  13. يتم إرسال رؤوس قيود XSS وقيود المحتوى

Fail2ban

للحد من عدد محاولات الانقطاع التي يعتبرها Fail2Ban المحلية.

الميزات الرئيسية هي:

  1. حظر لمدة ساعة واحدة بواسطة IP ، بغض النظر عن المستخدم.
  2. حظر المستخدم لمدة ساعة واحدة ، بغض النظر عن IP.

حظر عتبات للأخطاء والطلبات الكميات قابلة للتكوين.

الاختبار

كمية أساسية للغاية من الاختبارات المقدمة للأنظمة الفرعية العمود الفقري.

تكوين البيئة المحلية من أجل تشغيل التطبيق

المتطلبات الأساسية: PHP 7 (PDO_MYSQL ، OpenSSL) ، الملحن (ل phpunit فقط) ، خادم HTTP

  1. تعيين متغيرات البيئة: 
 WEBAPP_BASEDIR - should point to src/ folder
WEBAPP_STORAGE_MYSQL_HOST
WEBAPP_STORAGE_MYSQL_USER
WEBAPP_STORAGE_MYSQL_PASSWORD
WEBAPP_STORAGE_MYSQL_DB
  1. قم بتكوين جذر مستند خادم الويب الخاص بك للإشارة إلى src/public مع Index.PhP
  2. الوصول إلى التطبيق في المتصفح

اختبارات الوحدة

  1. قم بتشغيل phpunit في دليل مشروع الجذر ، تأكد من اجتياز جميع الاختبارات

phpunit --bootstrap tests/bootstrap.php tests/ApplicationTest.php

ملحوظات

  1. يتم تعطيل الحماية الكاملة (وضع السرية) في التكوين. php في getDisableProtection (). اضبطه على خطأ للأمن الكامل
  2. انظر/src/classes/configuration.php للتعرف على التكوين الحالي
  3. تكوين Fail2Ban هو بجنون العظمة نسبيًا ، وضبط getErrorsTillBan و getRequestsTillBan إذا لزم الأمر
يوسع
معلومات إضافية
تطبيقات ذات صلة
نوصي لك
أخبار ذات صلة الكل