|
||||||||
|
||||||||
|
|
Công Cụ | Xếp Bài |
02-02-2010, 04:06 PM | #1 |
Guest
Trả Lời: n/a
|
Bảo mật với PHP và Mysql phần 03 (flood)
Bảo mật với PHP và Mysql phần 03 Hai phần trước chúng ta như cưỡi ngựa xem … hoa . Giờ vấn đề nhức nhối hiện nay về việc bảo mật với PHP và Mysql là … flood . Dạng flood có 2 loại dạng Flood Form và Flood Process - Flood form là gì ? Flood form là dạng gởi dữ liệu hàng loạt khiến cho MYSQL xử lý “chới với” , ví dụ bạn thiết kế một form đơn giản chỉ INSERT data vào mysql . Nếu Dữ liệu chỉ là một request thì không sao , còn trong 1 giây mà có cả trăm request thì lập tức … hihì Hiện tại khá nhiều web site thiết kế form không có mã xác nhận ? thì vấn đề gì sẽ xảy ra ? Nếu những form như góp ý , đăng ký thành viên : lâu lâu có cả ngàn record do flood là chuyện thường , nếu form xử lý có gởi mail thì … đương nhiên bị lợi dụng để làm Bomb mail , làm đầy CSDL của mình . Những hậu quả dẫn đến : MYSQL bị treo , server chết , bị đầy space , tốn bandwidth . Chẳng hạn 1 record chừng 30kbytes thì 1000 , hay 10000 cứ như vậy lặp đi lặp lại theo cấp số nhân thì space tốn khá nhiều cho những dữ liệu vô ích , và cpu sẽ load rất nhiều tốn tài nguyên . - Flood process là gì ? Là dạng flood không tạo ra dữ liệu mới mà nó gởi những request khiến PHP và Mysql xử lý khá vất vả . Hiện đang có “trào lưu” flood PHP mà MYSQL bằng X-flash ( Macro Media Flash ) . Minh chứng là các bạn thấy trang http://www.hvaonline.net và http://www.hvanews.net hứng chịu một ngày trên cả trăm đợt tấn công , nhưng tại sao vẫn đứng hiên ngang , là do chế độ bảo mật cao , nếu đối với các site thường là … có vẻ bị “ngủm” . Cách phòng chống . - Đối với form nhập liệu cần tạo ra mã xác nhận dạng Hình ảnh ( có thể xem phần đăng ký thành viên tại PHPeasy , Hvanews … và một số những forum khác . - Cấu hình Mysql chấp nhận nhiều kết nối hơn ( mặc định MYSQL thường là 100) - Thiết lập hệ thống Firewall lọc những header chứa X-Flash - Chuyển website sang SSL . Còn nhiều cách khác , ở đây mình chỉ đưa ra những “nghiên cứu” mang tính chủ quan và sưu tầm từ kinh nghiệm của “cha ông ta” . Theo: php.net.vn |
|
|