php-resource



Zurück   PHP-Scripte PHP-Tutorials PHP-Jobs und vieles mehr > Scripts > Apps und PHP Script Gesuche
 

Login

 
eingeloggt bleiben
star Jetzt registrieren   star Passwort vergessen
 

 

 


Apps und PHP Script Gesuche Hier könnt ihr nach PHP Skripten und Programmen fragen. Postet eure Wünsche

Antwort
 
LinkBack Themen-Optionen Thema bewerten
  #1 (permalink)  
Alt 06-07-2012, 15:57
Cedric01
 Registrierter Benutzer
Links : Onlinestatus : Cedric01 ist offline
Registriert seit: Jan 2012
Beiträge: 32
Cedric01 befindet sich auf einem aufstrebenden Ast
Standard Aktuelle Login Scripte

Es sind ja im Web genügend Beispiele an php Login Scripten.
Doch suche ich ein Tut oder Beispiel Script mit aktuell Sicherheitsstandards.
Kann mir eine von euch einen Tipp geben.

Danke Cedric
Mit Zitat antworten
  #2 (permalink)  
Alt 07-07-2012, 09:32
mycat
 Registrierter Benutzer
Links : Onlinestatus : mycat ist offline
Registriert seit: Apr 2012
Ort: Schweiz
Beiträge: 8
mycat befindet sich auf einem aufstrebenden Ast
mycat eine Nachricht über MSN schicken
Standard Die Frage ist doch - was soll man dürfen ...

Hallo Cedric,

Die Frage ist doch erstmal, was du an Sicherheit haben möchtest und wie genau Eingaben geprüft sein sollen.

Im Allgemeinen würde ich mal behaupten, dass du mit htmlentities() schon recht gut fährst. Falls das Skript nicht mit Latin1(ISO-8859) arbeitet, solltest du wegen den Umlauten z.B.
PHP-Code:
htmlentities($varModus"utf-8"
die Codierung mitgeben.
PHP: htmlentities - Manual

Genauere Prüfungen würde ich mit RegEx
PHP-Code:
preg_match(), preg_match_all() 
machen.
PHP: preg_match - Manual

Weitere Möglichkeiten könnten sein:
PHP-Code:
trim(), strip_tags(), htmlspecialchars() 
und viele weitere ...

Heute ist es ev. auch sinnvoll mit jQuery erstmal zu prüfen, dabei sind auch in jQuery Reguläre Ausdrucksprüfungen möglich. Damit kannst du die "schönen" Formulare machen, in denen das Feld grün wird, sobald die Eingabe akzeptiert wird. Es geht dabei sehr einfach, z.B. den "senden" Button zu sperren, bis ALLE Felder ein OK geben ...

Eine eindeutige Antwort wird bei jedem anders lauten, es gibt hier viele Wege nach Rom.

Hoffe, ein wenig geholfen zu haben

Fredi
Mit Zitat antworten
  #3 (permalink)  
Alt 07-07-2012, 11:13
h3ll
 Registrierter Benutzer
Links : Onlinestatus : h3ll ist offline
Registriert seit: Mar 2008
Beiträge: 3.578
h3ll befindet sich auf einem aufstrebenden Ast
Standard

Zitat:
Zitat von mycat Beitrag anzeigen
Im Allgemeinen würde ich mal behaupten, dass du mit htmlentities() schon recht gut fährst. Falls das Skript nicht mit Latin1(ISO-8859) arbeitet, solltest du wegen den Umlauten z.B.
PHP-Code:
htmlentities($varModus"utf-8"
die Codierung mitgeben.
PHP: htmlentities - Manual
Das ist doppelt falsch.

Umlaute müssen überhaupt nicht kodiert werden, wenn man den korrekten Zeichensatz verwendet.

htmlentities() ist die falsche Funktion um sich gegen XSS-Attacken abzusichern. htmlspecialchars() ist hierfür zu verwenden.

htmlentities() macht nur dann Sinn, wenn man Zeichen in einem Zeichensatz ausgeben möchte, der diese nicht unterstützt. Sowas ist aber sehr selten bis gar nicht der Fall und schon gar nicht auf der eigenen Webseite, auf der man volle Kontrolle über den gewählten Zeichensatz hat.
Mit Zitat antworten
  #4 (permalink)  
Alt 07-07-2012, 11:29
wahsaga
  Moderator
Links : Onlinestatus : wahsaga ist offline
Registriert seit: Sep 2001
Beiträge: 25.236
wahsaga befindet sich auf einem aufstrebenden Ast
Standard

Zeichensatz != Zeichenkodierung </klugscheiss>
__________________
I don't believe in rebirth. Actually, I never did in my whole lives.
Mit Zitat antworten
  #5 (permalink)  
Alt 07-07-2012, 11:31
h3ll
 Registrierter Benutzer
Links : Onlinestatus : h3ll ist offline
Registriert seit: Mar 2008
Beiträge: 3.578
h3ll befindet sich auf einem aufstrebenden Ast
Standard

Zitat:
Zitat von wahsaga Beitrag anzeigen
Zeichensatz != Zeichenkodierung </klugscheiss>
Ist das auf mein Beitrag bezogen? Ein Zitat könnte nicht schaden.
Mit Zitat antworten
  #6 (permalink)  
Alt 07-07-2012, 11:36
wahsaga
  Moderator
Links : Onlinestatus : wahsaga ist offline
Registriert seit: Sep 2001
Beiträge: 25.236
wahsaga befindet sich auf einem aufstrebenden Ast
Standard

Na gut, hier hast du eins:
Zitat:
Zitat von h3ll Beitrag anzeigen
htmlentities() macht nur dann Sinn, wenn man Zeichen in einem Zeichensatz ausgeben möchte, der diese nicht unterstützt. Sowas ist aber sehr selten bis gar nicht der Fall und schon gar nicht auf der eigenen Webseite, auf der man volle Kontrolle über den gewählten Zeichensatz hat.
Du meinst Zeichenkodierung, nicht Zeichensatz.
__________________
I don't believe in rebirth. Actually, I never did in my whole lives.
Mit Zitat antworten
  #7 (permalink)  
Alt 07-07-2012, 11:44
h3ll
 Registrierter Benutzer
Links : Onlinestatus : h3ll ist offline
Registriert seit: Mar 2008
Beiträge: 3.578
h3ll befindet sich auf einem aufstrebenden Ast
Standard

IMHO Haarspalterei. Die Zeichenkodierung hängt vom Zeichensatz ab.
Mit Zitat antworten
  #8 (permalink)  
Alt 07-07-2012, 11:53
wahsaga
  Moderator
Links : Onlinestatus : wahsaga ist offline
Registriert seit: Sep 2001
Beiträge: 25.236
wahsaga befindet sich auf einem aufstrebenden Ast
Standard

Zitat:
Zitat von h3ll Beitrag anzeigen
[...] wenn man Zeichen in einem Zeichensatz ausgeben möchte, der diese nicht unterstützt.
Du kannst kein Zeichen ausgeben, das Unicode nicht unterstützt resp. beinhaltet.

Du kannst aber Zeichen aus dem Zeichensatz Unicode ausgeben, ohne eine Zeichenkodierung zu verwenden, die Unicode abbilden kann – bspw. eben mit htmlentities.
Zitat:
IMHO Haarspalterei. Die Zeichenkodierung hängt vom Zeichensatz ab.
Nein, das kann man so nicht sagen.
Und Haarspalterei ist korrekte Verwendung von Begrifflichkeiten m.E. auch nicht.
__________________
I don't believe in rebirth. Actually, I never did in my whole lives.
Mit Zitat antworten
  #9 (permalink)  
Alt 07-07-2012, 12:10
h3ll
 Registrierter Benutzer
Links : Onlinestatus : h3ll ist offline
Registriert seit: Mar 2008
Beiträge: 3.578
h3ll befindet sich auf einem aufstrebenden Ast
Standard

Zitat:
Zitat von wahsaga Beitrag anzeigen
Du kannst kein Zeichen ausgeben, das Unicode nicht unterstützt resp. beinhaltet.

Du kannst aber Zeichen aus dem Zeichensatz Unicode ausgeben, ohne eine Zeichenkodierung zu verwenden, die Unicode abbilden kann – bspw. eben mit htmlentities.
Das hab ich ja gesagt.

Zitat:
Zitat von wahsaga Beitrag anzeigen
Nein, das kann man so nicht sagen.
Und Haarspalterei ist korrekte Verwendung von Begrifflichkeiten m.E. auch nicht.
Wenn man den ISO-8859-1 Zeichensatz verwendet, verwendet man auch die Zeichenkodierung für ISO-8859-1. Wenn man den UTF-8 Zeichensatz verwenden, verwendet man die Zeichenkondierung für UTF-8. Es macht keinen Sinn die beiden Dinge zu trennen. Von daher ist nur nur i-Tüpfchenreiterei. Wenn ich sage, ich verwende den UTF-8 Zeichensatz, dann meine ich natürlich auch die dementsprechende Kodierung. Alles andere macht ja keinen Sinn.

Du gibst ja auch im Content-Type den "charset" an und nicht das "charencoding", obwohl natürlich auch die Kodierung damit gemeint ist.

Geändert von h3ll (07-07-2012 um 12:14 Uhr)
Mit Zitat antworten
  #10 (permalink)  
Alt 07-07-2012, 12:17
wahsaga
  Moderator
Links : Onlinestatus : wahsaga ist offline
Registriert seit: Sep 2001
Beiträge: 25.236
wahsaga befindet sich auf einem aufstrebenden Ast
Standard

Zitat:
Zitat von h3ll Beitrag anzeigen
Das hab ich ja gesagt.
Nein, hast du nicht.

Zitat:
Wenn man den ISO-8859-1 Zeichensatz verwendet
Kann man nicht, weil es kein Zeichensatz ist.

Zitat:
Wenn man den UTF-8 Zeichensatz verwenden
Kann man nicht, weil es kein Zeichensatz ist.

Zitat:
Es macht keinen Sinn die beiden Dinge zu trennen.
Doch, weil es zwei vollkommen verschiedene Dinge sind.

Zitat:
Wenn ich sage, ich verwende den UTF-8 Zeichensatz, dann meine ich natürlich auch die dementsprechende Kodierung. Alles andere macht ja keinen Sinn.
Nein, vor allem das „macht keinen Sinn“, weil es schlicht falsch ist.

Zitat:
Du gibst ja auch im Content-Type den "charset" an und nicht das "charencoding", obwohl natürlich auch die Kodierung damit gemeint ist.
Ja, das ist ein historisch gewachsener Fehler im HTTP.
(Ähnlich wie bspw. der Referer.)
__________________
I don't believe in rebirth. Actually, I never did in my whole lives.
Mit Zitat antworten
  #11 (permalink)  
Alt 07-07-2012, 14:44
AmicaNoctis
  Moderatorin
Links : Onlinestatus : AmicaNoctis ist offline
Registriert seit: Jul 2009
Beiträge: 5.709
Blog-Einträge: 9
AmicaNoctis sorgt für eine eindrucksvolle AtmosphäreAmicaNoctis sorgt für eine eindrucksvolle Atmosphäre
Standard

Zitat:
Zitat von wahsaga Beitrag anzeigen
Kann man nicht, weil es kein Zeichensatz ist.
ISO-8859-1 ist eine Codierung und ein Zeichensatz! UTF-8 dagegen ist eine von vielen möglichen Codierungen des Unicode-Zeichensatzes.
__________________
Hast du die Grundlagen zur Fehlersuche gelesen? Hast du Code-Tags benutzt?
Hast du als URL oder Domain-Beispiele example.com, example.net oder example.org benutzt?
Super, danke!
Mit Zitat antworten
  #12 (permalink)  
Alt 07-07-2012, 15:17
wahsaga
  Moderator
Links : Onlinestatus : wahsaga ist offline
Registriert seit: Sep 2001
Beiträge: 25.236
wahsaga befindet sich auf einem aufstrebenden Ast
Standard

Zitat:
Zitat von AmicaNoctis Beitrag anzeigen
ISO-8859-1 ist eine Codierung und ein Zeichensatz!
Gut, in dem Fall mag es da eine begriffliche Überschneidung geben.

Aber an Unicode vs UTF-xy sieht man gut, warum die Unterscheidung doch ihre Berechtigung hat.
__________________
I don't believe in rebirth. Actually, I never did in my whole lives.
Mit Zitat antworten
  #13 (permalink)  
Alt 07-07-2012, 17:51
Cedric01
 Registrierter Benutzer
Links : Onlinestatus : Cedric01 ist offline
Registriert seit: Jan 2012
Beiträge: 32
Cedric01 befindet sich auf einem aufstrebenden Ast
Standard

Mycat Fragt,


was ich sichern möchte und was ich dann erlauben möchte.


Nun zusichern ist eine Firmendatenbank mit Kundendaten, Shop und Formularfeldern. Zurzeit ist die Firma nicht so groß das sich ein Profi-Hacker die Mühe machen würde, doch ich möchte auch nicht, dass es von einem Erstklässler geknackt wird.
Und dann alle sagen, „Das hättest Du doch wissen müssen“.
Der Script sollte einfach solide und dem aktuellen PHP entsprechen.
Mit Zitat antworten
  #14 (permalink)  
Alt 07-07-2012, 20:52
AmicaNoctis
  Moderatorin
Links : Onlinestatus : AmicaNoctis ist offline
Registriert seit: Jul 2009
Beiträge: 5.709
Blog-Einträge: 9
AmicaNoctis sorgt für eine eindrucksvolle AtmosphäreAmicaNoctis sorgt für eine eindrucksvolle Atmosphäre
Standard

Das Wichtigste ist, dass du Kontextwechsel beachtest und zwar genau dort, wo sie auftreten. Sollen Benutzereingaben in die Datenbank eingetragen werden, benutze Prepared Statements von PDO. Sollen Daten als HTML ausgegeben werden, benutze htmlspecialchars(), um XML- und HTML-Sonderzeichen zu maskieren. Willst du mit Benutzerdaten eine E-Mail verschicken, nimm lieber eine praxiserprobte Mailerklasse, statt selbst etwas mit mail() zusammenzuwurschteln.

Die wichtigsten Stichworte zum Weiterlesen sind XSS, SQL-Injection und E-Mail-Header-Injection.
__________________
Hast du die Grundlagen zur Fehlersuche gelesen? Hast du Code-Tags benutzt?
Hast du als URL oder Domain-Beispiele example.com, example.net oder example.org benutzt?
Super, danke!
Mit Zitat antworten
  #15 (permalink)  
Alt 07-07-2012, 20:57
wahsaga
  Moderator
Links : Onlinestatus : wahsaga ist offline
Registriert seit: Sep 2001
Beiträge: 25.236
wahsaga befindet sich auf einem aufstrebenden Ast
Standard

Erweiternd zu Amicas Hinweisen: Artikel:Kontextwechsel ? SELFHTML

Was da drin steht, musst du wissen. Und zwar im Schlaf ;-)
__________________
I don't believe in rebirth. Actually, I never did in my whole lives.
Mit Zitat antworten
Antwort

Lesezeichen


Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)
 

Ähnliche Themen
Thema Autor Forum Antworten Letzter Beitrag
Aktuelle Kalenderwoche mangu PHP Developer Forum 13 11-06-2008 09:13
aktuelle zeit Zipper5004 PHP Developer Forum 15 08-03-2008 18:11
aktuelle Besucherzahl mattcmueller PHP Developer Forum 7 07-09-2002 21:03
Aktuelle ip anzeigen adobols PHP Developer Forum 3 09-02-2001 11:21
Aktuelle IP anzeigen ? adobols Apps und PHP Script Gesuche 4 31-01-2001 11:06

Themen-Optionen
Thema bewerten
Thema bewerten:

Forumregeln
Es ist Ihnen nicht erlaubt, neue Themen zu verfassen.
Es ist Ihnen nicht erlaubt, auf Beiträge zu antworten.
Es ist Ihnen nicht erlaubt, Anhänge hochzuladen.
Es ist Ihnen nicht erlaubt, Ihre Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are an


PHP News

ebiz-trader 7.5.0 mit PHP7 Unterstützung veröffentlicht
ebiz-trader 7.5.0 mit PHP7 Unterstützung veröffentlichtDie bekannte Marktplatzsoftware ebiz-trader ist in der Version 7.5.0 veröffentlicht worden.

28.05.2018 | Berni

Wissensbestand in Unternehmen
Wissensbestand in UnternehmenLebenslanges Lernen und Weiterbilden sichert Wissensbestand in Unternehmen

25.05.2018 | Berni


 

Aktuelle PHP Scripte

PHP Server Monitor

PHP Server Monitor ist ein Skript, das prüft, ob Ihre Websites und Server betriebsbereit sind.

11.09.2018 Berni | Kategorie: PHP/ Security
PHP WEB STATISTIK ansehen PHP WEB STATISTIK

Die PHP Web Statistik bietet Ihnen ein einfach zu konfigurierendes Script zur Aufzeichnung und grafischen und textuellen Auswertung der Besuchern Ihrer Webseite. Folgende zeitlichen Module sind verfügbar: Jahr, Monat, Tag, Wochentag, Stunde Folgende son

28.08.2018 phpwebstat | Kategorie: PHP/ Counter
Affilinator - Affilinet XML Produktlisten Skript

Die Affilinator Affilinet XML Edition ist ein vollautomatisches Skript zum einlesen und darstellen der Affili.net (Partnerprogramm Netzwerk) Produktlisten und Produktdaten. Im Grunde gibt der Webmaster seine Affilinet PartnerID ein und hat dann unmittelb

27.08.2018 freefrank@ | Kategorie: PHP/ Partnerprogramme
 Alle PHP Scripte anzeigen

Alle Zeitangaben in WEZ +2. Es ist jetzt 18:16 Uhr.