Как написать PHP-код, дружественный к безопасности модов?
Я создал тему в WordPress, которая попала в правило mod_security на HostGator и дала 403 error
.
Я связался с людьми там (в HostGator), и они исправили это для меня. Но я не хочу, чтобы моя тема работала так.
Я просто хотел узнать, есть ли какие-либо руководства/сообщения в блоге/учебные пособия, рассказывающие о написании PHP-кода, дружественного к mod_security?
Я попробовал поискать в Google, но не нашел ничего полезного.
1 answers
Я не уверен, что для этого существует много руководств, тем более что конфигурация mod_security варьируется от сервера к серверу.
Самое близкое, что я бы рекомендовал, - это взглянуть на проект Набора основных правил. Там куча правил. Их там очень много.
Некоторые общие вещи, которых следует избегать:
- включение имен функций в параметры
- использование SQL-запросов/ключевых слов (например, ВЫБРАТЬ, ОБНОВИТЬ, УДАЛИТЬ ИЗ) в URL-адресе или СООБЩЕНИЕ
- использование HTML в URL-адресе
Что именно вызывает это, может варьироваться. Если возможно, я бы спросил людей из HostGater, какое правило это вызвало, и попытался бы получить некоторую обратную связь. Если нет, установите mod_security в своем личном кабинете (или виртуальной машине) и посмотрите, запускает ли ваша тема какие-либо правила из основного набора правил.