Dragonfly Eesti

Miks see nii tähtis on?
Kui sa oled hakkama saanud mõne laheda asjaga Dragonfly'le, tahame, et sa võtaksid arvesse järgmiseid turvalisusnõudeid või muidu ei võta me su lisa vastu.
Kuigi välimine postitamise kaitse blokeerib päris palju, tahame siiski, et sa valmistaks turvalist koodi.

Andmebaas
Päringud ei või sisaldada global väärtusi või peavad olema märgitud nende intvar(), stringlength ja specialchars väärtustes.

Juhul kui väärtus ei tohi sisaldada HTML'i või PHP'd kasuta meie Fix_Quotes($muutuja, 1) funktsiooni et neist lahti saada.
Lubatud on ainult $db-> kasutatavad sql funktsioonid. Vanad sql funktsioonid nagu sql_num_rows ei ole lubatud ning on turvalisuse poolest ülimalt ohtlikud.

Kasutaja
Kuigi vana funktsioon on veel olemas, et vanad moodulid töötaks, ei luba me faile, mis kasutavad cookiedecode($user) funktsiooni või dekodeerivad ise $user väärtuse. Kasuta selle asemel global $userinfo väärtust mis juba sisaldab kõiki andmeid külastajatest, liikmetest või mitte. Näiteks

Administraator
Ära kunagi dekodeeri $admin väärtust, vaid kontrolli administraatori tegelikkust läbi is_admin() funktsiooni. is_admin() tagastab administraatori 'aid' (nime) kui inimene on administraator.

Mooduli kontrollimise õigust saad kontrollida kasutades can_admin('Mooduli_Nimi') funktsiooni.

Ligipääs failidele
Kaitse oma faile väliste kutsumiste eest nagu /sinufail.php või teise skripti eest, mis proovib include või require abil ligi saada sinu failile muust serverist.
Portaali faile võib kutsuda ainult kasutades require_once() või require() sest include() ja include_once() ei teata õigesti faili olemasolust.

Madis's server specs (Server OS / Apache / MySQL / PHP / DragonflyCMS)
Linux/2.0.63/5.0.67/5.2.5/9.2.1