เพิ่มความปลอดภัยให้กับ PHP ของคุณ (ตอนที่ 1 : ภาพรวม)

Posted March 13th, 2005 by tuwannu

บทความแรกเกี่ยวกับการสร้างความปลอดภัยให้กับ PHP ของเราครับ โดยจะกล่าวถึงภาพรวมเกี่ยวกับความปลอดภัยกันก่อน
ความปลอดภัยนั้น ไม่สามารถแยกออกเป็นสองส่วนได้ คือ "ปลอดภัย" และ "ไม่ปลอดภัย" เพราะสคริปต์แต่ละตัวที่ถูกเขียนออกมามัก

จะมีบั๊กเสมอ บ้างรุนแรง บ้างก็ไม่มีผลกระทบต่อระบบโดยรวม

ความปลอดภัยของสคริปต์ตัวนึง ก็ไม่สามารถนำมาเทียบกับสคริปต์อีกตัวได้ว่าตัวไหนมีความปลอดภัยมากกว่ากัน บ้างก็ถามกันไปมา

ว่ามีอะไรที่ใช้ได้ปลอดภัยบ้าง อันนี้ใครก็คงตอบไม่ได้ เหมือนการถามว่ายอดเขาหิมาลัยหนาวแค่ไหน ถ้าไม่มีใครสำรวจ ก็คงไม่มีใครพบ

คำตอบ

ข้อควรคำนึงเมื่อต้องการเพิ่มความปลอดภัย

ถ้าจะเพิ่มความปลอดภัยให้กับเว็บของคุณ ขอแนะนำให้คำนึงถึงเรื่องพวกนี้ครับ

ข้อหนึ่ง งบประมาณ ก่อนที่จะลงมือไปแตะต้องระบบที่ใช้งานอยู่ ลองดูสิว่าความปลอดภัยสำคัญแค่ไหน และเราสามารถ
เพิ่มความปลอดภัยได้ถึงระดับไหนโดยที่ไม่ต้องสูญเสียทรัพยากรมากเกินไป เพราะบางที การเพิ่มความปลอดภัยจะมีส่วนไปพัวพันกับตัว

server ด้วย อย่างเช่นการรองรับของ server (ตัวอย่างคือ SSL)
ข้อสอง ความสะดวกในการใช้งาน อ้าวๆ บางคนเล่นซะไกล ถึงขนาดทำตัวเป็น CIA ไปซะ ซึ่งถ้าเป็นแบบนั้นก็คงมากเกินไป
เอาพอเหมาะๆ ก็พอ ไม่ต้องทำให้มันปลอดภัยอะไรมากมาย เดี๋ยวคนใช้งานเข้าจะปวดหัวกับระบบพาสเวิร์ด 99 ชั้นของคุณซะ
ข้อสาม รวมความปลอดภัยเข้ากับการออกแบบ ความปลอดภัยก็เป็นผลพลอยได้อันหนึ่งจากการออกแบบระบบของคุณให้ดี
เพราะจะช่วยลดความผิดพลาด แล้วก็สามารถแก้ไขได้ง่ายด้วย

ขั้นตอนง่ายๆในการรักษาความปลอดภัยในเว็บ

คิดก่อนทำ ระหว่างที่เขียนโค๊ดไปนั้น ลองนึกดูซิว่าโค๊ดที่กำลังเขียนอยู่สามารถถูกแปลไปกลายเป็นเหยื่อของผู้ไม่หวังดีได้
หรือเปล่า
ศึกษาก่อนทำ อินเตอร์เน็ตนับว่าเป็นหนึ่ง ในสิ่งที่มีประโยชน์ที่สุดเท่าที่มนุษย์คิดค้นขึ้นมาได้เลยทีเดียว เพราะฉะนั้น จงรีด
เอาเนื้อของมันออกมาให้หมด เว็บไซต์ที่ให้คำแนะนำเกี่ยวกับการรู้ทันผู้ไม่หวังดีบนอินเตอร์เน็ตมีเยอะแยะถมเถไป ลองกูเกิ้ลดูสิ
กลั่นกรองข้อมูลจากภายนอก ถ้าไม่จำเป็นจริงๆ ไม่ควรรับข้อมูลจากผู้ใช้มาเลย เพราะมันสร้างแต่ปัญหากับปัญหา อย่าง
เช่นการอัพโหลดสคริปต์แปลกปลอม หรือการที่ผู้ใช้สามารถปลอมแปลงข้อมูลได้
จ้างยาม ถ้าไม่มีอะไรแล้ว ลองจ้างยามมาเฝ้า server ของคุณดูสิ เผื่อมีใครแอบเข้าไปแงะ web server ของคุณ (เกี่ยว
มั้ยเนี่ย)

ตอนต่อไป

บทนี้อาจจะทำให้มึนๆได้ เนื่องจากใส่เห็ดเมาผสมลงไปด้วย บทต่อไปจะเป็นภาคปฏิบัติครับผม คงไม่น่าเบื่อขนาดนี้ บทหน้าผมจะ

เขียนเกี่ยวกับเรื่องการเพิ่มความปลอดภัยเบื้องต้นที่เรามักจะมองข้ามครับผม

Post new comment

Comment: *

Input format

Filtered HTML

Web page addresses and e-mail addresses turn into links automatically.
Allowed HTML tags: <a> <em> <strong> <cite> <code> <ul> <ol> <li> <dl> <dt> <dd> <img> <h2> <span>
You can enable syntax highlighting of source code with the following tags: <code>. Beside the tag style "<foo>" it is also possible to use "[foo]".
Lines and paragraphs break automatically.

Markdown

You can enable syntax highlighting of source code with the following tags: <code>. Beside the tag style "<foo>" it is also possible to use "[foo]".
You can use Markdown syntax to format and style the text.

More information about formatting options

ตอบคำถาม: 13 ลบ 11 ได้เท่าไหร่?: *

คำนวณผลบวกด้านบนแล้วกรอกผลลัพธ์ลงในช่อง เช่น 2 ลบ 1 ให้พิมพ์ 1

Navigation

User login

เพิ่มความปลอดภัยให้กับ PHP ของคุณ (ตอนที่ 1 : ภาพรวม)

ข้อควรคำนึงเมื่อต้องการเพิ่มความปลอดภัย

ขั้นตอนง่ายๆในการรักษาความปลอดภัยในเว็บ

ตอนต่อไป

Post new comment