Защита форума от взлома

[Anonymous]

Здравствуйте всем. Задача такая - написать форум с нуля. Написал на PHP, сообщения, пользователи и проч. хранятся в БД MySQL. Теперь, разумеется, дело стоит за защитой форума. Вот, собственно, и вопрос - от каких способов взлома нужно защищать форум? Знаю об XSS и SQL-инъекциях и ещё знакомый сталкивался с тем, что в аватарку загрузили троянчика.

P.S. Аутентификация идёт на сессиях.

 

[etc]

а ненано ничего делать, форум ваш никому не нужен, вот и сделали защиту, никто не зайдет, следовательно ломать некому.

 

[Programmer_Hard]

Если что-то разрешаешь пользователям грузить на сервер, то проверяй, ато загрузят шелл)
Ну а так пока форум не будут посещать тыщи людей и не будет иметь высокий пиар, нафиг не кому не нужен твой форум, а ща можешь поставить табличку сверху "не баловаться на форуме нах!" ))

 

[Anonymous]

etc:

форум ваш никому не нужен

Во-первых, он нужен непосредственно начальной аудитории. Форум закрытый, регистрации нет. Тем не менее защититься от взлома нужно. Те, кто не огораживают свои сайты, иногда просыпаются с DROP TABLE users в логах

Programmer_Hard, что есть шелл?

Насчёт XSS - достаточно будет удалить все теги из посылаемых браузером данных и добавить бекслеши к служебным символам? В PHP есть для этого стандартные функции, но если бы всё было так просто, сайты бы не ломались.