З наведеної схеми видно, що заголовок TCP додається після шифрування даних. Це означає, що
        маршрутна  інформація  може  бути  перехоплена.  І  хоча,  одержати  основну  інформацію  буде  не
        можливо, можливо визначити, хто нею обмінюється.
              Стиснення  в  SSL  виконується  до  шифрування,  тому  що  зашифровані  дані  погано  піддаються
        стисненню.  Алгоритми  стиснення  засновані  на  пошуку  повторюваних  послідовностей  даних.  Тому
        спроба їх застосування після того, як у результаті шифрування дані були перетворені у випадковий
        набір бітів, у більшості випадків виявляється мароню. Було б небажаним, щоб SSL, розроблений для
        підвищення безпеки мережі, приводив до істотного збільшення трафіка.
              З'явилася  версія  1.1  стандарту  TLS  (Transport  Layer  Security  —  безпека  транспортного  рівня),
        який заснований на SSL 3.0, однак містить ряд удосконалень, пов'язаних з усуненням недоліків SSL і
        підвищенням гнучкості. TLS відкритий стандарт і доступний іншим.
              Перевірка введених користувачем даних
              Один  із  принципів  створення  надійного  веб-додатка  полягає  у  тому,  щоб  ніколи  не  довіряти
        даним,  уведеним  користувачем.  Перед  записом  у  файл  або  в  базу  даних  або  перед  виконанням  за
        допомогою  системної  команди  дані,  що  поступили  від  користувача,  повинні  бути  обов'язково
        перевірені.
              Способи перевірки даних, які вводять користувачі:
               функцію addslashes() слід використовувати для фільтрації даних до їхнього пересилання в
        базу даних. вона літералізує символи, які можуть викликати проблеми в базі даних. для повернення
        даних до вихідного виду служить функція stripslashes();
               можна  включити  директиви  magic_quotes_gpc  і  magic_quotes_runtime  у  файлі
        php.ini. вони автоматично додають або забирають слеши, причому magic_quotes_gpc виконує це
        для  вхідних  змінних  методів  get,  post  і  cookie-наборів,  a  magic_quote_runtime  —  для
        даних, що заносяться або вилучаються з баз даних;
               функцію  escapeshellcmd()  слід  використовувати  при  передачі  користувацьких  даних  у
        виклики system() і exec(). ця функція літералізує всі метасимволи, які можуть бути використані
        зловмисниками для запуску в системі довільних команд;
                                                            187