မြန်မာဘာသာ
မြန်မာဘာသာ
Dreamweaver CMS (didecms) သည်ကိုယ်ပိုင်ဘလော့ဂ်များနှင့်ကော်ပိုရိတ်ဝက်ဘ်ဆိုက်များကဲ့သို့သော 0 က်ဘ်ဆိုက်အမျိုးအစားများတွင်ကျယ်ပြန့်သော open source အကြောင်းအရာစီမံခန့်ခွဲမှုစနစ်ဖြစ်သည်။ ဆိုက်ဘာလုံသင့် CMS မှတည်ဆောက်သောဝက်ဘ်ကမ်းခံမှုခြိမ်းခြောက်မှုများတွင်တိုးပွားလာသောကြောင့် Dreamweaver CMS မှဝက်ဘ်ဆိုက်များသည်လည်းလုံခြုံရေးစိန်ခေါ်မှုများပိုမိုများပြားလာသည်။ ထို့ကြောင့် Dreamaver CMS ၏လုံခြုံရေးကိုတိုးတက်စေရန်အထူးအရေးကြီးသည်။ ဤဆောင်းပါးသည် SQL Injection, XSS တိုက်ခိုက်မှုများနှင့် CSRF တိုက်ခိုက်မှုများကဲ့သို့သောဘုံလုံခြုံရေးပြ issues နာများကိုကာကွယ်ခြင်းအပါအ 0 င် Dreamweaver CMS ၏လုံခြုံရေးကိုတိုးတက်စေရန်တိကျသောနည်းလမ်းများကိုမိတ်ဆက်ပေးလိမ့်မည်။
Dreamweaver CMS အဖွဲ့သည်လူသိများသောအားနည်းချက်များနှင့်လုံခြုံရေးပြ issues နာများကိုဖြေရှင်းရန်ဗားရှင်းအသစ်များကိုပုံမှန်ဖြန့်ချိလိမ့်မည်။ လုံခြုံရေးကိုတိုးမြှင့်ရန်ဝက်ဘ်ဆိုက်အုပ်ချုပ်ရေးမှူးများသည်စနစ်ကိုပုံမှန်မွမ်းမံရန်အကြံပြုသည်။ သတ်သတ်မှတ်မှတ်စစ်ဆင်ရေးနည်းလမ်းများမှာအောက်ပါအတိုင်းဖြစ်သည် -
အားနည်းသောစကားဝှက်များကိုအသုံးပြုခြင်းသည်ဝက်ဘ်ဆိုက်များတိုက်ခိုက်ခံရသည့်အဓိကအကြောင်းရင်းများထဲမှတစ်ခုဖြစ်သည်။ 0 က်ဘ်ဆိုက်၏လုံခြုံရေးကိုအားဖြည့်ရန်ခိုင်မာသောစကားဝှက်မူဝါဒကိုသတ်မှတ်ရမည်။ စကားဝှက်များတွင်စာလုံးအကြီးများ, နံပါတ်များနှင့်အထူးအက္ခရာများပါ 0 င်သင့်ပြီးစာလုံး 8 လုံးထက်မနည်းစေသင့်ပါ။ ဒီ setting ကို system configuration file ကိုပြုပြင်မွမ်းမံခြင်းဖြင့်ရရှိနိုင်ပါသည်။ နမူနာကုဒ်သည်အောက်ပါအတိုင်းဖြစ်သည် -
$cfg [ 'pwdminlength' ] = 8; // 密码最小长度为8位
$cfg [ 'pwdcomplexity' ] = 3; // 密码复杂度要求
SQL Injection သည်ဆိုက်ဘာတိုက်ခိုက်မှု၏အသုံးအများဆုံးနည်းလမ်းတစ်ခုဖြစ်သည်။ တိုက်ခိုက်သူများသည်အထိခိုက်မခံသောသတင်းအချက်အလက်များကိုရရှိရန်သို့မဟုတ်တရားမ 0 င်စစ်ဆင်ရေးများပြုလုပ်ရန်အတွက် input box ထဲသို့အန္တရာယ်ရှိသော SQL ထုတ်ပြန်ချက်များကိုထိုးသွင်းသည်။ SQL Injection Attacks ကိုကာကွယ်ရန် Dre Sqleaver CMS သည် parameters တွေကိုချိတ်ဆက်ပြီး filter input အချက်အလက်များကိုဖြည့်ဆန့်ရန်ကူညီရန်လုပ်ဆောင်ချက်များပေးသည်။ ဥပမာများမှာအောက်ပါအတိုင်းဖြစ်သည် -
$id = intval ( $_GET [ 'id' ]); // 过滤输入的id参数
$sql = "SELECT * FROM `dede_article` WHERE id = '$id'" ;
Cross-site scripting attack (XSS) သည်ဆိုက်ဘာတိုက်ခိုက်သူများသည်ဆိုက်ဘာတိုက်ခိုက်သူများသည်အမေရိကန်၏သတင်းအချက်အလက်သို့မဟုတ် tamper ကိုဝက်ဘ်စာမျက်နှာများကိုအန္တရာယ်ရှိသော scripts များဖြင့်ခိုးယူထားသောဝက်ဘ်စာမျက်နှာနှင့်အတူလှည့်ပတ်ခိုးယူကြသည်။ XSS တိုက်ခိုက်မှုများကိုထိရောက်စွာကာကွယ်နိုင်ရန်အတွက်အသုံးပြုသူများမှထည့်သွင်းထားသော HTML tag fail သို့မဟုတ် filter content များကိုထွက်ပြေးတိမ်းရှောင်နိုင်သည်။ နမူနာကုဒ်သည်အောက်ပါအတိုင်းဖြစ်သည် -
$content = htmlspecialchars( $_POST [ 'content' ]); // 对内容进行HTML标签转义
ကွင်းလယ်ကစားစကားတောင်းဆိုခြင်း (CSRF) သည်တိုက်ခိုက်သူများအတွက်တိုက်ခိုက်သူများအတွက်တိုက်ခိုက်သူများအတွက်တိုက်ခိုက်သူများအတွက်တိုက်ခိုက်ရန်နည်းလမ်းဖြစ်သည်။ ထိုကဲ့သို့သောတိုက်ခိုက်မှုများကိုကာကွယ်ရန်, ကျပန်းထုတ်လုပ်လိုက်တဲ့တိုကင်များကိုပုံစံသို့ထည့်ပြီးသူတို့၏ထိရောက်မှုကိုစစ်ဆေးရန်အကြံပြုသည်။ နမူနာကုဒ်သည်အောက်ပါအတိုင်းဖြစ်သည် -
$token = md5(uniqid(rand(), true)); // 生成随机token
$_SESSION [ 'token' ] = $token ; // 将token存储在session中
// 在表单中添加token字段
"hidden" name= "token" value= "<?php echo $token; ?>" >
စနစ်ကိုအချိန်မီမွမ်းမံခြင်းအားဖြင့်ခိုင်မာသောစကားဝှက်မူဝါဒများကိုချိန်ညှိခြင်း, SQL Injection များကိုကာကွယ်ခြင်းနှင့် CSRF တိုက်ခိုက်မှုများကိုကာကွယ်ခြင်းကိုကာကွယ်ခြင်းကိုကာကွယ်ခြင်းနှင့် CSRF တိုက်ခိုက်မှုများကိုကာကွယ်ခြင်းကိုကာကွယ်ခြင်းကိုကာကွယ်ခြင်းကိုထိရောက်စွာကာကွယ်နိုင်သည်။ ဤအကာအကွယ်ပေးမှုအစီအမံများကိုရယူခြင်းအားဖြင့်လုံခြုံရေးခြိမ်းခြောက်မှုများမှသင်၏ဝက်ဘ်ဆိုက်ကာကွယ်မှုကိုတိုးမြှင့်နိုင်သည်။
