[deeflex]

Hej

Det är så att jag undrar lite vilket språk som är bäst ur säkerhetssynpunkt? Framförallt när det gäller överföring av pengar. PayPal och Payson använder sig av asp.

[Drew]

Du kan göra säkra skript både i php och asp. Lika väl som det går att göra väldigt osäkra skript i båda språken.

/D

[Eddie]

Paypal kör väl inte asp? och Payson kör asp.net. men som Drew säger så kan du göra lika säkra och osäkra applikationer i båda språken.

[kullervo]

Nu har jag inte koll på sånna här moderniteter som PHP 5, men PHP 4 har mycket tokigheter för sig bl.a. kass felhantering. Bruten skulle man kunna kalla den för t.om. Det är ju egentligen helt oacceptabelt men i brist på annat så använder många stora sajter (bl.a. vi) PHP och det går ju det med.

Hur som helst så spelar det väl mindre roll vad t.ex. PayPal kör för språk på deras webbfront:ar? Det är förmodligen bara dumma burkar som det inte gör så mycket om de ens blir ägda.

[jonny]

Det säkraste är förmodligen att välja det språk du kan bäst.

Att använda ett välanvänt (gratis) skript kan dock vara dåligt; framförallt om du inte uppgraderar eventuella säkerhetsfixar. Poängen är att en bugg i något du själv skrivit och bara använder på ett ställe löper mindre risk att upptäckas och utnyttjas. Titta på exempelvis wordpress som har ett säkerhetshål i en äldre version. Det är då ganska enkelt att hitta webbplatser som använder den osäkra versionen med exmepelvis google.

[Buffi]

Säkrast är förmodligen att först och främst använda något framework som sköter SQL-hanteringen åt dig, så att du inte behöver göra "råa" SQL-queries, om du inte är väldigt duktig på SQL och vet vilka luckor som behöver täckas igen.

Läs även på om cross-site-scripting och var säker på att validera din indata överallt.

Egentligen så spelar språk ingen roll, men många frameworks gör väldigt mycket av det här gratis åt dig.
Det finns more or less ingen som hellst risk för SQL-injections i t.ex. django om man inte skriver VÄLDIGT intressant kod

[deeflex]

Ok tack för svaren. Ska kolla runt lite mer, men återkommer med mer frågor.

[deeflex]

Nu har jag läst lite om php och säkerhet. Det verkar som att alla inmatningar kontrolleras med regexp (och annan säkerhet också?). Känns inte som att jag kommer behöva något framework just nu, vill koda allt själv helst.

Fler tips välkomnas.

[Buffi]

Regexp har ingenting med säkerhet att göra
Läs på om XSS-attacker och SQL-injections om du vill veta vad du måste kunna om du ska koda php.
Var även säker på att validera indata precis överallt där du får input av användarna.

edit: Well, man kan ju såklart använda regex för att matcha indata och validera det så, men det är inget php gör åt dig.

[Kristoffer G]

För mig är det PHP som gäller.. men som tidigare nämt, man kan göra både säkra och osäkra i php såväl som asp.. man måste veta vad man sysslar med.

I PHP
Validera indata
Hantera utdata på rätt sätt
Config filer osv sparas Utanför webrooten
Släng det äldre databashanteringssystemet
Använde PDO istället
Läs på om xxs och sql-injections, html hacking, javascript hacking
Koda smart och förnuftigt.