Proszę o pomoc przy mojej stronie.

[dbname]

Witam!

Od jakiegoś czasu staram się stworzyć stronę o inkach (www.inkowie.com). Niestety nie mam bladego pojęcia jak ją zabezpieczyć. Do dodawania nowych artykułów użyłem gotowego skryptu PsNews.
Bardzo zależy mi na bezpieczeństwie danych, które będą się tam znajdowały więc proszę Was o pomoc przy jej tworzeniu. Zezwalam na wszelkie testy z wyjątkiem kasowania tego co już się tam znajduje

serwer: boo.pl
skrypt: PsNews
forum: vanilla

ps. Inkowie.com powstaje w celu szerzenia sprawdzonych i rzetelnych informacji dostępnych bezpłatnie i bez uciążliwych form reklamy.

pozdrawiam i czekam na pomoc
--
dbname
Inkowie.com
Darek N.

[ShutDown]

Opierając stronę o gotowe CMSy i nie znając języka w jakim są tworzone nie będziesz potrafił ich zabezpieczyć. Możesz jedynie aktualizować wersję skryptu, aby wyeliminować błędy, które już zostały wykryte i poprawione przez autora. Takie skrypty powinny być wstępnie zabezpieczone przed atakami, więc nie masz się co martwić Jak już mówiłem aktualizuj wersję no i dbaj o hasła oraz uważaj, żeby Cię ktoś od całkiem innej strony nie zaszedł np. Socjotechnika, Trojaniki, Key-loggery itp.

P.S Byłbym zapomniał, no i rób częste backupy to skutecznie uniemożliwi utratę danych

[dbname]

No właśnie jest problem bo to nie jest gotowy CMS tylko skrypt, który miał za zadanie jedynie dodawać newsy na strone. Ja go przerobiłem w taki sposób, że dodaje on artykuły. Głównym problemem jest to że nie wiem czy można zaufać temu kawałkowi kodu

pod adresem http://n00b.ovh.org/psnews11.zip można pobrać ten skrypt

ps. backupy jak najbardziej

[Mad_Dud]

plik: news/admin.php

Kod php:

<?php
$body = stripslashes($body);
$body = preg_replace("'\n|\r\n|\r'si", "<br>", $body);
$body = str_replace("|", "\\|", $body);

$title = stripslashes($title);
$title = preg_replace("'\n|\r\n|\r'si", "", $title);
$title = str_replace("|", "\\|", $title);
?>

To nie wystarczy.
CRLF chyba jest załatane, ale brakuje magic quotes i innych takich.

bo to nie jest gotowy CMS tylko skrypt

ShutDownowi nie chciało się wymieniać wszystkich typów software. Idea jest taka, że jeśli korzystasz z publicznie udostępnionego kodu, który nie jest regularnie rozwijany - jesteś zagrożony.

[dbname]

Czyli jednym słowem zmienić na jakiegoś bezpiecznego CMS'a i aktualizować + backupy, tak?
Pytanie tylko, który wybrać

[ShutDown]

Dobre pytanie, który CMS jest najbardziej bezpieczny? Ten mniej znany z jednej strony jest bezpieczniejszy, bo mało kto w nim szuka dziur itp. ale jednak jest spora szansa, że dziury zawiera. Czy ten popularny, który jest często aktualizowany i łatany ale jednak jego kod ma większość ludzi na dysku?... Wydaje misiem, że najlepszą opcją będzie jakiś płatny CMS no ale jednak tu trzeba płacić.

Mam jeszcze inną propozycję, napisz sobie sam
Nie wiem jak bardzo jesteś obeznany w php,html,css ale widzę po stronie że wystarczy Ci pobieranie rekordów z bazy MySQL i dodawanie to będą newsy. Reszta to pod strony, które możesz po prostu includować (dołączać do strony ) za pomocą php. To będzie chyba najbezpieczniejsze rozwiązanie W razie czego mogę Ci pomóc, tylko nie licz na gotowce