Bảo mật với PHP và Mysql phần 03

Lượt xem: 6792 lần

Tác giả: Chưa rõ

Đánh giá: 102 điểm / 32 lần

Xếp hạng:

Gởi ngày: 09 06, 2008

Bài viết mã số: 292

Tựa đề: Bảo mật với PHP và Mysql phần 03

Trong chủ đề: Bảo Mật Website

Thông tin thảo luận: 0

Trang in

Gởi bạn bè

Mời bạn đánh giá bài viết này:

Nội dung Bảo mật với PHP và Mysql phần 03

Hai phần trước chúng ta như cưỡi ngựa xem … hoa . Giờ vấn đề nhức nhối hiện nay về việc bảo mật với PHP và Mysql là … flood .

Dạng flood có 2 loại dạng Flood Form và Flood Process

- Flood form là gì ? Flood form là dạng gởi dữ liệu hàng loạt khiến cho MYSQL xử lý “chới với” , ví dụ bạn thiết kế một form đơn giản chỉ INSERT data vào mysql . Nếu Dữ liệu chỉ là một request thì không sao , còn trong 1 giây mà có cả trăm request thì lập tức … hihì

Hiện tại khá nhiều web site thiết kế form không có mã xác nhận ? thì vấn đề gì sẽ xảy ra ?

Nếu những form như góp ý , đăng ký thành viên : lâu lâu có cả ngàn record do flood là chuyện thường , nếu form xử lý có gởi mail thì … đương nhiên bị lợi dụng để làm Bomb mail , làm đầy CSDL của mình .

Những hậu quả dẫn đến : MYSQL bị treo , server chết , bị đầy space , tốn bandwidth . Chẳng hạn 1 record chừng 30kbytes thì 1000 , hay 10000 cứ như vậy lặp đi lặp lại theo cấp số nhân thì space tốn khá nhiều cho những dữ liệu vô ích , và cpu sẽ load rất nhiều tốn tài nguyên .

- Flood process là gì ? Là dạng flood không tạo ra dữ liệu mới mà nó gởi những request khiến PHP và Mysql xử lý khá vất vả . Hiện đang có “trào lưu” flood PHP mà MYSQL bằng X-flash ( Macro Media Flash ) . Minh chứng là các bạn thấy trang http://www.hvaonline.net và http://www.hvanews.net hứng chịu một ngày trên cả trăm đợt tấn công , nhưng tại sao vẫn đứng hiên ngang , là do chế độ bảo mật cao , nếu đối với các site thường là … có vẻ bị “ngủm” .

Cách phòng chống .

- Đối với form nhập liệu cần tạo ra mã xác nhận dạng Hình ảnh ( có thể xem phần đăng ký thành viên tại PHPeasy , Hvanews … và một số những forum khác .
- Cấu hình Mysql chấp nhận nhiều kết nối hơn ( mặc định MYSQL thường là 100)
- Thiết lập hệ thống Firewall lọc những header chứa X-Flash
- Chuyển website sang SSL .
Còn nhiều cách khác , ở đây mình chỉ đưa ra những “nghiên cứu” mang tính chủ quan và sưu tầm từ kinh nghiệm của “cha ông ta” .

Source Bảo mật với PHP và Mysql phần 03: ThongTinBaoMat.Com,Tác giả php.net.vn

Những bài viết tương tự Bảo mật với PHP và Mysql phần 03:
Những thao tác cơ bản để xóa bỏ phần mềm bảo mật giả mạo | Bảo mật với PHP & Mysql Phần 1 | Bảo mật với PHP & Mysql Phần 2 | Phần mềm miễn phí bảo vệ máy tính và sự riêng tư | 5 mẹo giúp bảo vệ dữ liệu khỏi bị xâm phạm | Báo động tình trạng bảo mật server | Android và iOS bảo mật tốt hơn hệ điều hành PC | 3 thiếu sót về bảo mật của Google+ | IBM giới thiệu công cụ bảo mật AppScan | Cách kiểm tra các kết nối không bảo mật

Những bài viết mới hơn trong Bảo Mật Website

Anti PHP-SQL Injection ( 09 06, 2008 )
Qui định server busy (overload) - Chống Overload Server ( 09 06, 2008 )
Giải pháp chống flood cho site ( 09 06, 2008 )
Cách phát hiện và khắc phục lỗi SQL injection trong PHP ( 09 06, 2008 )
HTTP authentication with PHP ( 09 06, 2008 )

Những bài viết cũ hơn trong Bảo Mật Website

Bảo mật với PHP & Mysql Phần 2 ( 09 06, 2008 )
Bảo mật với PHP & Mysql Phần 1 ( 09 06, 2008 )
Khám phá tính năng của file .htaccess ( 09 06, 2008 )
Bảo mật ứng dụng Web (Secure Web Application) ( 09 06, 2008 )
Các hoạt động phá hoại Web Server (Phần 2) ( 13 10, 2007 )
Các hoạt động phá hoại Web Server ( 13 10, 2007 )
Bảo mật website VN: Mất bò không lo làm chuồng ( 03 09, 2007 )