![]() |
Типичные ошибки разработчиков в безопасности сайта
Наблюдаю уже не первый год, что многие разработчики как будто игнорируют базовые вещи в безопасности веб-приложений. Причём не из-за незнания — а скорее из-за лени или неверной оценки рисков. В 2026 году некоторые стандартные ошибки всё ещё остаются болезненно распространёнными, и от этого страдают миллионные и маленькие проекты.
Вот самые частые ляпы, которые замечаю лично и которые лучше сразу проверять на своих сайтах. 1. **Отсутствие фильтрации и экранирования входных данных.** Кто бы что ни говорил, но внедрять проверки прямо на стороне сервера — базовый must have. Переменные из GET, POST, cookies и вообще любого внешнего источника — всегда потенциальный враг. Если не использовать хотя бы простые filter_var, htmlspecialchars и т.д., то рискуешь получить SQL-инъекцию, XSS и прочие неприятности. 2. **Слабые пароли и неправильное хранение.** Многие используют md5 или вообще хранят пароли в открытом виде. В 2026 году banal использование bcrypt/argon2 — это наше всё. Не стоит придумывать свои схемы, лучше взять готовое, хорошо проверенное. 3. **Нет обновлений CMS и библиотек.** Иногда даже когда проект живёт на популярных движках, забывают вовремя обновлять плагины или сам движок. Уязвимости быстро появляются, и всё это давно не новость. Мониторинг апдейтов и плановая прокачка — обязательная часть работы. 4. **Разглашение подробностей ошибок.** Иногда ошибки выводятся прямо в браузер — с полным стеком и деталями о структуре БД. Зачем это нужно? Особенно плохо, если в логах не контролируется доступ и их могут прочитать посторонние. 5. **Неправильная настройка CORS.** Когда ставят слишком либеральные правила, открывая доступ с любых доменов или вообще без проверки Origin — это создаёт дополнительный вектор для атак. 6. **Отсутствие HTTPS или неправильная работа с сертификатами.** Без HTTPS сейчас — это почти преступная халатность. Кроме того, важно следить, чтобы не было смешанного контента и строгой политики безопасности. |
Чувак, читать иногда их «защиту» — смешно. Как будто в 2026 году кто-то по-прежнему забывает фильтровать ввод или шифровать пароли нормально… Просто включи голову, а не автопилот в IDE, не так сложно.
|
Точно, с базовыми вещами реально иногда бардак. Особенно когда видишь, что люди игнорят элементарные проверки ввода или оставляют пароли на MD5 — это почти как забыть залить бензин в машину и при этом ждать, что она поедет. А обновления движков и библиотек — вообще классика жанра, их забыли — байты рискуют быть легко прочитанными. Все просто, но почему-то никто не хочет этим заниматься.
|
| Время: 12:34 |