Xây dựng website thương mại điện tử giới thiệu và bán thực phẩm

Giới thiệu về AppServ

AppServ là dự án tích hợp, cài đặt nhanh chóng, đơn giản các mô phỏng máy chủ web như Apache, PHP, MySQL.

Bảo mật web trong lập trình trong PHP

• Giới thiệu bảo mật

Sự chứ tấm đến bảo mật nghĩa là bạn phải coi tất cả dữ liệu là hỏng(không hoàn toàn đúng yêu cầu) và dữ liệu đó phải được lọc trước khi sử dụng hoặc đưa ra ngoài hoặc khi xoá bỏ dữ liệu khỏi dụng. Ví dụ chuỗi truy vấn user có thể thay đổi bằng tay và thêm vào đó các thẻ javascipt kết quả có thể dẫn đến có hại cho hệ thống một quy tắc chung nhất của tất cả các biến mảng toàn. Ví dụ này không liên quan trực tiếp đến chủ đề trực tiếp để lập trình viên giảm thiểu sự tấn công nhưng nó nêu ra vấn đề tồn tại của cách sử dụng Blacklist là: blacklist phải sửa đổi cập nhật liên tục, phải mở rộng khi gặp kiểu tấn công mới.

Việc lọc Escape Output để bảo vệ client và người dùng những lệnh có hại tiềm tàng, Escape Output hiểu nó như một phần của như bộ lọc dữ liệu, hai cái đều quan trọng như nhau, bộ lọc để chắc chắn rằng tính hợp lệ của dữ liệu nhập cho ứng dụng còn , tránh khỏi những nguy cơ tấn công có hại cho hệ thống. Sử dụng chuẩn bị dữ liệu trong cấu trỳc giỳp bạn chỉ rừ nơi quan trọng trong câu lệnh SQL và có thể sử dụng nhiều lần trong một lần khai báo và thay thế giá trị trong mỗi thời gian. Ví dụ:giả sử biến môi trường register_globals được đặt là ON biến $loggedin chưa được khởi tạo nên hàm checkLogin() cho giá trị là false dễ dàng có thể gán $loggedin=1 bằng cách truyền thêm vào chuỗi truy vấn.

Chúng ta bị điều này này là do register_globals là ON vì vậy có thể gán giá trị cho $loggedin thông qua chuỗi truy vấn, form, cookies…tốt nhất khi làm việc với chúng chúng ta dung những siêu mảng do PHP cung cấp $_GET,.

Bảo mật trong lập trình PHP 1 Bảo mật website

• Bảo mật Filesystem

Form trên giới hạn độ dài tối đa cho phép nhập và có thể dùng javascript để giới hạn khi người dùng nhập vào và khi form được submit thì tất cả dữ liệu form sẽ chuyển đến trang process.php để sử lý. Kiểm tra độ tin cậy các thông tin từ bên ngoài là cần thiết đảm bảo dữ liệu submit là phù hợp yêu cầu trong form and thậm chí dữ liệu từ form giả mạo không thể qua được bộ lọc. Bây giờ mọi người viếng thăm các thông tin đăng nhập được và cookies chuyển đến URL nó được truyền qua chuỗi struy vấn trên site.kẻ tấn công dễ dàng dùng $_GET[’cookies’] để lưu chúng để sau sử dụng.

Khi một XSS tấn công khai thác sự tin tưởng của ngưòi dùng vào ứng dụng, một yêu cầu được gải mạo ứng dụng được người sử dụng tin tường, một yêu cầu đuợc cho là hợp pháp được gửi đi thât khó có thể phát hiện ra có phải thực sự người sự dụng muốn thưc hiện yêu cầu đó. Và sau đó nó send tạo một trên cookies với tên mặc định là PHPSESSID bạn có thể thay đổi tên mặc định của nó bằng cách thay đổi nó trong php.ini hoặc dùng hàm session_name(). PHP có khả năng truy cập trực tiếp hệ thống files và có thể thực hiện các lệnh shell, nó cung cấp cho các nhà phát triển sức mạnh lớn, nó thực sự nguy hiểm khi làm hỏng dữ liệu đầu cuối bằng các comand line.

Khi khai báo chèn vào file bằng include hoặc requre chú ý cẩn thận khi sử dụng dữ liệu “hỏng” để tạo một sự khai báo bao hàm(include) động trên dữ liệu nhập từ client, bởi vì một lỗi có thể dễ dàng cho phép hacker có thể thực hiện các cuộc tấn công từ xa.

Giao thức bảo mật phổ biến trong thương mại điện tử

Chứng thực điện tử thường được xác nhận rộng rãi bởi một cơ quan trung gian (là CA -Certificate Authority) như RSA Data Sercurity hay VeriSign Inc., một dạng tổ chức độc lập, trung lập và có uy tín. Các tổ chức này cung cấp dịch vụ “xác nhận” số nhận dạng của một công ty và phát hành chứng chỉ duy nhất cho công ty đó như là bằng chứng nhận dạng (identity) cho các giao dịch trên mạng, ở đây là các máy chủ webserver. Sau khi kiểm tra chứng chỉ điện tử của máy chủ (sử dụng thuật toán mật mã công khai, như RSA tại trình máy trạm), ứng dụng máy trạm sử dụng các thông tin trong chứng chỉ điện tử để mã hoá thông điệp gửi lại máy chủ mà chỉ có máy chủ đó có thể giải mã.

Trên cơ sở đó, hai ứng dụng trao đổi khoá chính (master key) - khoá bí mật hay khoá đối xứng - để làm cơ sở cho việc mã hoá luồng thông tin/dữ liệu qua lại giữa hai ứng dụng chủ khách. Toàn bộ cấp độ bảo mật và an toàn của thông tin/dữ liệu phụ thuộc vào một số tham số: (i) số nhận dạng theo phiên làm việc ngẫu nhiên; (ii) cấp độ bảo mật của các thuật toán bảo mật áp dụng cho SSL; và (iii) độ dài của khoá chính (key length) sử dụng cho lược đồ mã hoá thông tin. Các thuật toán mã hoá và xác thực của SSL được sử dụng bao gồm (phiên bản 3.0):. DSA - thuật toán chữ ký điện tử, chuẩn xác thực điện tử), phát minh và sử dụng của chính phủ Mỹ. KEA - thuật toán trao đổi khoá), phát minh và sử dụng của chính phủ Mỹ.

Cơ sở lý thuyết và cơ chế hoạt động của các thuật toán sử dụng về bảo mật bên trên hiện nay là phổ biến rộng rãi và công khai, trừ các giải pháp thực hiện trong ứng dụng thực hành vào trong các sản phẩm bảo mật (phần cứng, phần dẻo, phần mềm).

XÂY DỰNG VÀ THIẾT KẾ WEBSITE GIỚI THIỆU VÀ BÁN THỰC PHẨM

• Phân tích và thiết kế hệ thống

• Một khách hàng khi tham quan cửa hàng, họ sẽ đặt vấn đề cửa hàng bán những gì, thông tin về mặt hàng được bán, giá cả và hình thức thanh toán.Do đó để đáp ứng những nhu cầu tối thiểu trên, cửa hàng ảo phải đảm bảo cung cấp những thông tin cần thiết, có giá trị và hơn thế nữa là dễ thao tác.Mặt hàng khi bán phải có hình ảnh, giá cả,nơi sản xuất và thông tin liên quan đến mặt hàng đó. • Nêu đây là lần đầu tiên khách hàng đến cửa hàng thì khách hàng cần đăng ký thành viên để mua hàng,trong đó khách hàng khai họ tên,thông tin địa chỉ…tên sử dụng và mật khẩu của khách hàng. • Khi khách hàng đã sẵn sàng hoàn thành đơn hàng của mình thì các mặt hàng mà khách hàng hiện có trong giỏ mua hàng của mình sẽ chuyển vào đơn đặt hàng thực hiện đặt hàng với cửa hàng ,sau đó giỏ mua hàng sẽ rỗng.

Phải nhanh chóng đưa khách hàng tới nơi có mặt hàng họ cần, đó là nhiệm vụ của nhà quản lý.Việc lưu trữ các thông tin về mặt hàng trong một cơ sở dữ liệu trực tuyến, cơ sở dữ liệu này chứa những thông tin về mặt hàng như : tên mặt hàng , loại mặt hàng, thông tin mô tả, hình ảnh, giá cả mặt hàng,…. • Quản lý mặt hàng : người quản lý có thể bổ sung, loại bỏ và cập nhật mặt hàng để phù hợp với tình hình hoạt động của cửa hàng cà nhu cầu thị hiếu của khách hàng………. Cung cấp giỏ hàng cho khách hàng : Khách hàng sẽ cảm thấy thoải mái khi duyệt qua toàn bộ cửa hàng trực tuyến mà không bị gián đoạn ở bất kỳ đâu vì phải lo quyết định xem có mua một mặt hàng nào hay không, cho tới khi kết thúc việc mua hàng, có thể lựa chọn mặt hàng, thêm hoặc loại bỏ mặt hàng ra khỏi giỏ hàng cũng như ấn định số lượng cho mỗi mặt hàng.

• Nhận đơn đặt hàng: Sau khi khách hàng kết thúc giao dịch, đơn hàng sẽ được tổng hợp lại và gửi qua các bộ phận khác như : kế toán , kinh doanh…ngoài ra sau một thời gian nhất định, nhà quản lý có thể sử lý đơn đặt hàng mới và cũ nếu cần.