background image

Σχεδιασμός και Υλοποίηση Συστήματος Διαχείρισης Προσωπικών Δαπανών  

46 

 

σύνδεση.  Με  αυτόν  τον  τρόπο,  τα  δεδομένα  διακινούνται  κρυπτογραφημένα  με  τη 

χρήση έγκυρων πιστοποιητικών, μέσω της θύρας 443.   

Έπειτα, μία ακόμη πρακτική ασφάλειας που χρησιμοποιήθηκε ήταν οι έλεγχοι 

των  δεδομένων  των  εισόδων.  Για  κάθε  νέα  παράμετρο  εισόδου  προστέθηκαν  οι 

κατάλληλες  εντολές  επαλήθευσης.  Πρώτο  μέλημα  ήταν  η  επιβεβαίωση  ανταλλαγής 

υπαρκτών δεδομένων, ενώ εξίσου αναγκαίος ήταν  και ο έλεγχος  για την  επικύρωση 

ορθών  πληροφοριών  της  κάθε  παραμέτρου,  προκειμένου  να  αποφευχθεί  μία 

κακόβουλη επίθεση. Αυτές οι μέθοδοι φαίνονται στην Εικόνα 20 που ακολουθεί, όπου 

παρουσιάζεται η χρήση των συναρτήσεων της γλώσσας προγραμματισμού PHP, isset() 

για  την  επιβεβαίωση  υπαρκτών  παραμέτρων  και  filter_var(),  συνοδευόμενη  από  το 

κατάλληλο κάθε φορά φίλτρο, για την εξασφάλιση ουσιαστικών τιμών στις ζητηθείσες 

παραμέτρους.  Πιο  συγκεκριμένα,  στο  προκείμενο  παράδειγμα  της  εικόνας  γίνεται 

χρήση  του  φίλτρου  FILTER_SANITIZE_NUMBER_INT,  το  οποίο  απομακρύνει 

οποιαδήποτε περιττή πληροφορία που δε συνάδει με έναν ακέραιο πραγματικό αριθμό. 

 

Εικόνα 20 Έλεγχος εισόδου πριν από τη διαγραφή εξόδων

 

 

Στη συνέχεια, να σημειωθεί ότι  κατά την ανάγνωση ή εισαγωγή πληροφοριών 

από ή προς τη βάση δεδομένων, χρησιμοποιήθηκαν οι προκατασκευασμένες εντολές 

PDO  της  PHP.  Πρόκειται  για  άλλη  μία  τεχνική  εξασφάλισης  ορθών  τιμών  των 

παραμέτρων  εισόδου,  για  την  αποφυγή  κακεντρεχούς  επίθεσης  προς  τη  βάση 

δεδομένων. 

Τέλος,  είναι  αξιοσημείωτο  το  γεγονός ότι  πραγματοποιούνται  έλεγχοι  και  στο 

front-end κομμάτι του κώδικα. Πιο συγκεκριμένα, κατά την εισαγωγή δεδομένων στις 

φόρμες της HTML εμφανίζεται κατάλληλο μήνυμα λάθους και αποτρέπεται η υποβολή 

φόρμας, έτσι ώστε να μην υποβληθεί κάποια από αυτές με ελλιπή ή άκυρα δεδομένα.