Zavisi

O čemu?

o iskustvu programera, o...?

Uglavnom od iskustva programera i korišćenih serverskih aplikacija.

Što se samog PHP-a tiče (mada ne možeš posmatrati samo na osnovu PHP-a), ako koristiš novije verzije, onda su aplikacije prilično sigurne.

pitanje je toliko uopšteno da jednostavno ne možeš da očekuješ bilo kakav smisleniji odgovor... možda ne bi bilo loše da probaš da konkretizuješ. ovako, jedini odgovor može da bude da je sigurnost aplikacije obrnuto srazmerna broju sigurnosnih propusta u toj aplikaciji ;)

Apsolutno se slažem.

sigurnost od napda hakera.

A šta ti podrazumjevaš pod pojmom "haker". Neće svakako sekretarica u kancelariji da ti ubaci MySQL injection, ili odradi xss. Tako da kao da opet nisi ništa rekao.
Čini mi se da ti pitaš može li šta poći po zlu ako je sve odrađeno kako treba.
Jedina stvar koja mi trenutno pada na pamet u tom slučaju je da pukne php na serveru pa ti server ponudi file sa kodom na download. Ne znam kako se ovo rješava, mada to opet nije problem konkretnog php-a, vec cijele implementacije.

recimo imam neku aplikaciju tipa web shop.

dali je moguće razbiti aplikaciju ili provaliti u bazu ili da hakeri s hakeriraju sajt itd...

Sve to zavisi od mnogo faktora. Generalno - moguće je. Ako web aplikaciju pravi neko ko ume da ih pravi, i ako server podešava server administrator koji ume da podešava servere - šanse za to su manje. I to nema veze sa PHPom, tako ti je kod svih platformi.

Kao i u životu, apsolutna bezbednost ne postoji.

Možeš se truditi oko "Sigurnost php skripti i php web aplikacija" koliko hoćeš,
ali uvek će se naći neki zaobilazni način.

Na primer, ako je deljen hosting, moguće je pronaći jednu slabo zaštićenu aplikaciju (nebitno jel php, asp, pajton) i kroz nju u nekim slučajevima dopreti do drugih deljenih hostinga ili baza.
Takođe ni Apač nije savršen, moguće je iskoristiti njegove slabosti da bi nekom sajtu došao "s leđa".
I slično, a sve su to stvari na koje ne možeš da utičeš.

Ono što ljudi načešće rade kod nas kad imaju web prodavnicu je da narudžbe preko sajta procesuiraju još jednom "ručno", tj. pregledaju narudžbenicu i sumu, pošalju email kupcu da potvrde narudžbu i broj računa i iznos koji treba da uplate, pa čekaju na uplatu da bi mu poslali robu.

PHP ima opciju open_basedir kojom se ova vrsta problema rešava.



Kao što Nemanja reče, ako je sve lepo podešeno, šanse za ovo...

... Su mnogo, mnogo, manje...

Posmatraj analogiju sa automobilima:

Tvoje pitanje bi glasilo ovako nekako: "Koliko je sigurna voznja Juga"

Voznja zavisi od nekoliko faktora:
- sposobnost i iskustvo vozaca (programer)
- ispravnost i tehnicke karakteristike vozila (platforma)

Kao i kod automobila, postoje razlike kod platformi (posto pitanje kao da poziva na predlaganje alternativa ako PHP nije siguran). Neki automobili cine pravljenje greske laksim (nabudzeni jugo od 120 konja, ali sa istim kocnicama koje je imao i dok je imao 45 konja), dok neki drugi inherentno diktiraju drugaciji pristup voznji (recimo neki tromiji volvo, ili neka slicna "ladja").

Naravno, moguce je sasvim sigurno voziti juga, i divljati u volvou. Pritom, oprezna i savesna voznja jugom ne garantuje da te nece pokupiti neki sleper i pretvoriti u gomilu presovanog gvozdja (tehnologije od kojih tvoja aplikacija zavisi: apache, baza, frameworkovi..). Isto tako, nije iskljuceno da ti mladji brat nece drpiti kljuceve i slupati kola na nagovor loseg drustva (social engineering).


Toliko od mene.

Ne bas uvek ;) http://www.frsirt.com/english/advisories/2005/1862

Nisam mislio na taj, trivijalan pristup.
Mislio sam da napadač iskoristi loše napisan skript i sistemske bagove da bi sišao na nivo fajl sistema.

a šta je s online kladionice?

Šta sa njima?

A sta sa njima?
Jesi li ti uopste citao date odgovore do sada??
Znaj da treba postaviti smisleno pitanje da bi dobio smislene odgovore inace je ovakvo kuckanje besmisleno.