Защита сайта, MySQL баз и сервера Lineage2

[Jocker]

Здравствуйте. Я решил не спамить на этом форуме темами про защиту разных компонентов сервера, а создать отдельную тему в соответствующем разделе, и обсуждать вопрос за вопросом по мере их возникновения. Здесь каждый мог бы зайти и поделиться либо получить часть опыта от других.
Начну с того, с чего начинаю каждую подобную тему для того, чтобы человек, который желает поделиться опытом сразу представлял себе с чем он имеет дело. Я впервые создаю сайт собственноручно и опыта в PHP и MySQL у меня маловато. Отдельным вопросом хотелось бы отметить установку защиты на сайт. Первое, что я решил сделать это защиту от SQL инъекций. Сделал это путем привязки регулярных выражений ко всем формам ввода. Пока что это формы: регистрации (логин, пароль, адрес e-mail) и входа в личный кабинет (логин, пароль). Плюс ограничил кол-во вводимых символов в эти поля до 12 символов. Если я достаточно понял статью о SQL инъекциях, то этого должно хватить для достойной защиты. У кого какие предложения/советы по этому поводу?

[Azagthtot]

Самое простое предложение. Использовать mysqli расширение PHP.
Оно позволяет параметризировать запросы.
Второе. Проверка типа вводимых данных. Напишите скрипт-"файрволл" которому вы будете передавать требуемый тип параметров, а он автоматом будет проверять на соответствие. Примеров - два мешка в инете.
Третье. Изолированные базы. Никаких доступов на insert, update. Все Четвертое. Используйте ТОЛЬКО представления. Не пускайте козла в огород (веб-часть в таблицы).
Пятое. Аудит всех важных действий. Причем, аудит средствами БД
Шестое. В инете полно инфы по защите информации (простите за тавтологию). Как "размышлений вслух", так и конспектов спецкурсов.
Не поленитесь с ними ознакомится

[Deron]

Слабо кому то написать мануал по защиту от ддос атак http.
Средствами nginx, iptalbes и т.д
Думаю очень много людей будут благодарны в том числе и я =))

[Azagthtot]

Слабо кому то написать мануал по защиту от ддос атак http.
Средствами nginx, iptalbes и т.д

Мануала быть не может по определению.
А теории DDOS-атак и противодействия им полно. Читайте, изучайте, действуйте

[Blast]

Слабо кому то написать мануал по защиту от ддос атак http.
Средствами nginx, iptalbes и т.д
Думаю очень много людей будут благодарны в том числе и я =))

Вряд ли найдёте готовые и универсальные настройки iptables - для каждого сервера они могут меняться.
Что касается nginx - оно в принципе неубиваемо.
Графику сайта разместите на яндексе/вконтакте - это позволит избежать перегруз канала отдачи (в случае если боты не смогут положить get-подобными запросами сайт они могут графику с сайта тянуть, в следствии забить канал отдачи)

Ну и правильно выбирайте впс, что бы можно было использовать полный потенциал iptables (как-то где-то брал ВПСку, там половина фишек iptables была обрезана)

Далее лучше веб-сервер сделать распределённым, например скрипт регистрации разместить в другом месте (с сайта через ajax регистрация происходит, как и форум, а сайт - only nginx, тогда если ляжет форум сайт и регистрация будет работать как ни в чём не бывало.

Ну и в конце концов обратитесь к специалисту, быстро и качественно сделает, самому разбираться долго и сложно.

[Deron]

Кароче распихать все ява скрипты и графику по другим сайтам и прописать к ним путь?
А то размер сайта не радует:

размер HTML разметки страницы 9922 байт ( 3.7 % )
полный вес CSS ресурса 29908 байт ( 11.2 % )
размер JavaScript страницы 169045 байт ( 63.3 % )
вес графики включая прописанную в CSS 58095 байт ( 21.8 % )

[Blast]

Кароче распихать все ява скрипты и графику по другим сайтам и прописать к ним путь?

Как бы это основа основ html - пути =\

[Deron]

Ну так мысль правильная?
Как на меня ты это и пытался сказать ))

[Blast]

Ява не столько весит сколько графика.
Я бы показал пример, но не хочу "позориться" со своим скромным проектом - графика сайта загружена на vk.com - на сайт нагрузка нулевая, ддос форум убивает а сайту хоть бы хны.

[Jocker]

Я когда покупал хостинг, то там было сказано, что хостинг защищен от ддос. На эту защиту лучше не расчитывать?