Основные правила защиты сайта от взлома

Есть много способов взлома сайта, я напишу об основных:
1)Технология подлома базы (SQL-инъекция) - самая простая и достаточно распространенная технология, ее знают практически все кто знает SQL. Обезопаситься от нее можно легко и просто применив стандартную функцию PHP - mysql_real_escape_string() - данная функция полностью исключает SQL-инъекцию
2)Пробелы в строках- предполагается что пробелы в коде могут вызвать неправильные вычисление что и нужно хакеру. Защитить от них свой сайт можно применив функция вырезания пробелов trim()
3)Подмена COOKIES - технология COOKIES достаточна удобна, но стоит не забывать что все переменные массив $_COOKIES хранятся в браузере и их можно подменить (просто ввести вручную). Для защиты необходимо применять проверку (например проверять и логин и пароль а не толкьо логин). А можно воспользоваться сессией ($_SESSION) которая работает аналогично, но хранится на сервере, что полностью исключает подмену. Возможным недостатком $_SESSION может являться недостаточная функциональность, например сложность установки времени действия.

по поводу сессий:

Чтобы задать время жизни сессии в секундах в файле php.ini устанавливаем следующие параметры:

session.gc_maxlifetime = 10800
session.cookie_lifetime = 10800

Если нет возможности внести изменения в файл php.ini, то можно сделать установку этих параметров при помощи файла .htaccess. Для этого вносим следующие строки:

php_value session.gc_maxlifetime 10800
php_value session.cookie_lifetime 10800

Кроме того, можно установить время жизни из PHP при помощи функции session_set_cookie_params. К примеру:

<?php
session_set_cookie_params(10800);
?>

А можно сделать чтобы сессия действовала неограничено и даже когда закрываешь браузер?

Можно, если это разрешает настройка хостинга.

Закрытие браузера никак не влияет на существование (хранение) сессии на сервере. Просто сам браузер "забывает" какая была в прошлый раз сессия. Можно "помочь" браузеру, если записать имя сессии в куки или на бумажечку.

теоретически можно, но не рекомендуется.
файлы сессий будут забивать диск на сервере мусором.

у тогда вот такой вопрос - когда у меня аварийно закрывается браузер Firefox, потом при включении есть кнопка "Восстановить сессию", все вкладки открываются но пароли все требуется вводить, атворизация теряется

Логически рассуждая, обрывает и сам сайт сессию чтоб мошенники (получив ваши куки сессии) не могли вывести у вас средства или наделать в вашем акке что-то плохое (от сайта конечно зависит что у вас там есть) . О вас же стараются.

Если время между "сеансами" работы браузера прошло мало и соединение "то же" (айпи не менялся), то по идее все должно работать.
Сайт НЕ может знать о том, что у юзера закрылся браузер.

Думаю что в случае когда идентификатор сессии передается в виде куки браузеру, то у куки может быть указан срок истечения - до закрытия браузера (это зависит от настроек сайта), соответственно после закрытия, кука с ним попросту удаляется.
Т.е. сайт и не знает что браузер у пользователя закрылся, просто после повторного открытия браузер перестает возвращать ид-р сессии на сайт

Вообще для защиты сайта от взлома поможет только полная проверка всех его исходников на уязвимости. И всё.

Ну и естественно базовые вещи:
1) Антивирус на домашнем компе
2) Сменить права на скриптах на 755
3) Не сохранять пароль на фтп в фтп-клиентах

Но ещё раз повторюсь, без полной проверки исходных кодов, сайт не защитить.

А как лучше всего произвести данную проверку?

нанять знающего человека для прокерки
а вообще хотелось бы добавить что в оочень часто еще встречаются локальные инклюды.
т.е. код вида <?include('./web/$page.php');?> легко обойти передав значение $page='../../../../../../etc/passwd%00', успешность такой атаки зависит от настроек сервера. Большинство серверов на данный момент настраиваються не реагировать на нуль байт.
также стоит обращать внимание вообще на логику кода, т.е. ошибка в логике может выдать злоумышленнику путь к выполняемому скрипту, и, тотже локальный инклуд будет проще произвести.
но, как мне кажеться, защитить полностью веб сайт нереально, всегда есть админ который сохраняет пассы в файлах, или не удаляет письма от хостера из почты, использует простые пароли и т.д.
по поводу кукисов и сессий, дабы злоумышленник не подменил данные необходимо внимательно фильтровать переменные которые приходят от пользователя. XSS тоже очень актуальны в данный момент...
вобщем статей на данную тему написано море, стоит только поискать

Если честно, то изначально я и пришёл на этот форум, чтобы такую услугу предлагать. Но тут нельзя постить объявления, пока не наберёшь 10 сообщений.

Если конкретно - нужно просмотреть глазами код сайта и убедиться в том, что все переменные которые передаются в "опасные" функции должным образом отфильтрованы. Задача нетривиальна.

К сожалению, автоматическим сканером не обойтись, т.к. он в любом случае найдёт не более 70% уязвимых мест и то в лучшем случае.

SaimON, по опыту, самые популярные уязвимости это XSS и SQL Injection, инклуды встречаются реже, но даже при отключенном нулл-байте есть реально работающие методы, позволяющие отбросить расширение файла.

ознакомился с Вашим прайсом... впечатляет, но ценник завышен просто до облаков желаю удачи в поиске богатых клиентов!

SaimON, не так уж ценник и высок, если платить по среднему, или если на сайте не много уязвимостей и платить поштучно. Ну а с учётом затраченного времени, эта услуга так и стоит. Конечно можно довериться школьникам, готовым выполнять подобную работу за 20$, но и результат будет соответствующим. (Это как и при создании сайтов).

Спасибо за пожелания!

P.S.
Готовы сделать скидку до 50% первым клиентам с этого форума.

При таком сайте - цены, конечно, ппц. Я сомниваюсь что у вас найдутся клиенты...

Fialka, сайт в разработке и реально используется только для того, чтобы было куда повесить прайс и пример отчёта.