Да съм казал, че аз ги краквам ?
Може да кажеш, че бягам от това да ти дам проект, но моя спор с теб не трябва да засяга други хора. Ще ти дам възможност да ми тестваш сигурността, не се притеснявай. Ще ти дам проект, на който аз съм конфигурирал виртуалката и аз съм писъл целия код. Просто съжалявам, но в момента нямам мой проект, който да е онлайн и да не е с нещо готово.
Ползвам prepare stmt навсякъде и моделите ми валидират информацията до идеалния случай. Абсолютно всичко, което идва от потребителя го валидирам. Не става въпрос валидиране от сорта на
Код за потвърждение: Избери целия код
<?php
$category = (int)$_GET['cat'];
if($category > 0) {
...
}
Това не е истинско валидиране на категорията. Параноичен съм и абсолютно всичко се проверява. Толкова съм параноичен, че валидирам ip-то на потребителя, защото теоретично може да има xss. Дали на практика може да уцели точния момент и да стане това реално ...
В сървърите не съм толкова добър, но просто си добавям няколко iptables за да приемам трафик само на порт 80. Ftp и ssh мога да се свържа само с моето ip. Ще кажеш мега тъпо, но ако искам да вляза от друго място, просто ще вляза в контролния панел на хоста и ще добавя ip-то. След това ще мога да се логна и няма да има проблем
Ползвам ssl за всичко, дори и да е безплатен
Както казах, не се притеснявай ще ти дам възможност да се докажеш
Едит:
Проверката ми дали потребителя е логнат не е такава