MWN Website
ContactHome

Tip keamanan pemrograman web

[draft]

Artikel ini berisi kumpulan tip untuk pemrograman web yang lebih aman.

Contents

File konfigurasi

Sebisa mungkin taruhlah di luar documentroot, agar menutup kemungkinan dapat terbaca oleh webserver secara mentah (bisa saja terjadi jika oleh satu dan lain hal terjadi kesalahan konfigurasi webserver misalnya, sehingga file berektensi .php atau .cgi tidak diproses oleh interpreter PHP/CGI melainkan dibaca dan dikembalikan mentah oleh webserver). Misalnya, di server hosting berbasis Spanel, alih-alih menaruh di sites/NAMASITE/www/config.php, Anda dapat menaruh di sites/NAMASITE/etc/config.php.

Di server hosting berbasis Spanel, permission yang dianjurkan adalah 640, agar menutup kemungkinan terbaca oleh webserver secara mentah (bisa saja terjadi jika oleh satu dan lain hal terjadi kesalahan konfigurasi webserver misalnya, sehingga file berektensi .php atau .cgi tidak diproses oleh interpreter PHP/CGI melainkan dibaca dan dikembalikan mentah oleh webserver).

Ada baiknya juga Anda memberikan perlindungan ekstra lewat .htaccess seandainya file konfigurasi ini Anda taruh di dalam documentroot, misalnya: 

<Files config.php>
   deny from all
</Files>

File-file program (skrip PHP, CGI, dsb)

Di server hosting berbasis Spanel, permission yang dianjurkan adalah 640, agar menutup kemungkinan terbaca oleh webserver secara mentah (bisa saja terjadi jika oleh satu dan lain hal terjadi kesalahan konfigurasi webserver misalnya, sehingga file berektensi .php atau .cgi tidak diproses oleh interpreter PHP/CGI melainkan dibaca dan dikembalikan mentah oleh webserver).

Admin area

Proteksi ganda: password/session dan alamat IP. Jika Anda memiliki admin area (istilah lain: back room, protected area, staff area) yaitu area yang hanya diperuntukkan bagi staf-staf saja, misalnya untuk memasukkan berita, melakukan administrasi, dsb, dan staf Anda mengakses admin area ini dari satu atau beberapa alamat IP tertentu saja yang tetap, maka Anda bisa membatasi akses terhadap admin area ini untuk IP tertentu saja. Misalnya, di admin/.htaccess: 

order allow,deny
allow from 1.2.3.4
allow from 5.6.7.8
allow from 5.6.7.9

Dengan demikian ini mengurangi risiko admin area Anda dimasuki oleh penyerang dari Internet, terutama jika ada staf Anda yang menggunakan user/password yang pendek dan/atau mudah ditebak.

Form

SQL

  • quoting: $dbh->prepare instead of $dbh->do() and manual quoting

XSS

  • htmlentities
  • urlencode

XSRF

Shell (system, exec)

Link

  • Lihat juga artikel tentang tip-tip mencegah/recover dari hacking website di server hosting (beberapa konten spesifik untuk Spanel): Troubleshooting hacking website

Navigasi

Feedback

Artikel Popular

  • Panduan pengguna Spanel
  • Peraturan dan Persetujuan
  • Email
  • Upload files
  • Panduan pengguna Masterkey
  • Kontak MWN
  • PHP
  • Setting SMTP
  • Tentang shared hosting
  • URL sementara
  • Email Manager
  • selengkapnya...

    • Artikel Terbaru

  • Sistem afiliasi
  • Artikel:Tool lama dengan wajah baru
  • Artikel:Mengenal link di Unix
  • Menggunakan TortoiseSVN
  • Peringatan dari browser untuk situs SSL yang tidak memiliki sertifikat sendiri
  • T:Pesan kesalahan: CGI Execution Error
  • Promosi
  • Menyimpan gambar (atau file lain) di database versus di filesystem
  • T:Pesan error: sendmail: Can't send mail: Sender domain (XXX.com) does not belong to user, please use your own domain
  • Tip keamanan akun hosting Spanel
  • Pembatasan pengiriman email
  • selengkapnya...
    • Hak cipta © 2006-2008 PT Master Web Network Konten ditulis dan dikoleksi oleh staf MWN. Artikel-artikel pada situs knowledge base ini dapat dikutip dan disalin secara bebas, namun mohon menyebutkan sumber dengan URL http://kb.masterweb.net/ atau teks "Knowledge Base MWN". MWN tidak bertanggung jawab atas akurasi dan/atau kekinian konten. MWN tidak bertanggung jawab atas komentar-komentar yang dikirim pembaca. Dengan memposting komentar Anda memberi hak penuh pada MWN untuk menampilkan komentar tersebut di manapun dan kapanpun, dan untuk mengedit atau menghapus komentar tersebut dengan cara bagaimanapun dan/atau karena alasan apapun.