-
Notifications
You must be signed in to change notification settings - Fork 0
/
Copy pathwhat_to_check.txt
67 lines (34 loc) · 3.43 KB
/
what_to_check.txt
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
--- Что нужно проверить в плагине перед публикацией? ---
Данный документ содержит рекомендации для проверки плагинов перед тем, как выпустить их в продакшн.
1. Меры безопасности
1.1. Закрыть доступ полностью
В каталогах: classes, config, include, templates/language
должны быть добавлены файлы .htaccess, которые закрывают ко всем файлам доступ извне к текущему каталогу и всем дочерним. Пример файла ".htaccess":
Order Deny,Allow
Deny from all
1.2. Закрыть доступ к файлам шаблона
В каталоге: templates
должен быть добавлен файлы .htaccess, которые закрывают доступ извне к текущему каталогу и всем дочерним для типа файлов "tpl", которые являются шаблонами. Пример файла ".htaccess":
Options -Indexes
<Files ~ "\.tpl$">
Order allow,deny
Deny from all
</Files>
1.3. Дампы таблиц
Дампы ваших таблиц должны храниться в папке sql_dumps плагина, которая полностью должна быть закрыта для доступа извне файлом .htaccess. Пример файла ".htaccess":
Order Deny,Allow
Deny from all
1.4. Главный класс плагина
В главном классе плагина, который находится в корне папки плагина (PluginИмяплагина.class.php) должна существовать проверка на существование класса Plugin:
if (!class_exists('Plugin')) {
die('');
}
Это позволит избежать раскрытия директории на сервере при прямом обращении к имени файла.
1.5. Все операции, которые изменяют данные должны проверять ключ безопасности лс (см. http://ru.wikipedia.org/wiki/%D0%9F%D0%BE%D0%B4%D0%B4%D0%B5%D0%BB%D0%BA%D0%B0_%D0%BC%D0%B5%D0%B6%D1%81%D0%B0%D0%B9%D1%82%D0%BE%D0%B2%D1%8B%D1%85_%D0%B7%D0%B0%D0%BF%D1%80%D0%BE%D1%81%D0%BE%D0%B2)
для этого в форму или в урл (как гет-параметр) следует добавить значение security_ls_key, а на стороне сервера проверять его значение через вызов метода
$this->Security_ValidateSendForm()
это позволит избежать подделки межсайтовых запросов и тем самым повредить данные.
2. Кодировка файлов
ВСЕ файлы с текстом (описание или код) должны быть в кодировке utf-8 БЕЗ bom (byte order mask), т.е. просто в utf-8.
Админка лс предоставляет инструмент в утилитах для проверки кодировки файлов движка.
Некорректная кодировка может вызывать самые разные проблемы как при работа с вашим плагином, самим движком, так и другими плагинами.