Sichere Webformulare mit PHP

Einklappen
X
 
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

  • Sichere Webformulare mit PHP

    Nur weil ich gerade selbst auf der Suche war nach diesem Thema, hier gammelt ein Thema in "Off-Topic" rum, dass sehr wohl zum Thema PHP-Programmierung gehört:

    http://www.php-resource.de/forum/sho...threadid=57240

    Gerade momentan ist genau das wieder aktuell, da gerade eine Angriffswelle auf Webformulare stattfindet. Dabei versuchen Spam-Bots diese Formulare zum Versenden von Werbemails zu missbrauchen. Das betrifft natürlich alle Programmiersprachen, aber momentan ist hauptsächlich PHP betroffen.

    Bevor ich ewige Texte schreibe, lest Euch mal den Text hier durch:

    http://www.computer-security.de/content/view/77/32/

    Der beschreibt die Problematik ganz gut. Man kann es einfach nicht oft genug sagen, überall wo Eingaben gemacht werden, müssen diese überprüft werden und gerade einfache und doppelte Anführungsstriche, so wie in diesem Fall Linefeeds/CRs entfernt werden. Generell gilt einfach, Formularfelder möglichst nur auf erwarteten Zeichensatz und Länge beschränken und das alles prüfen.

    Bye,
    Drillson

  • #2
    Danke für den Hinweis. Nur da auch dieser Thread kein konkretes PHP-Problem beinhaltet, werde ichs mal aus diesem Forum verschieben. OT scheint mir auch hier angemessen.

    Kommentar


    • #3
      Tut mir leid, wenn ich Dir da widerspreche, man sollte hier mal mit diesen Zeilen anfangen

      $_POST['absender'] = str_replace("\r","",$_POST['absender']);
      $_POST['absender'] = str_replace("\n","",$_POST['absender']);

      und dann Anfängern und auch Fortgeschrittenen zeigen, wie man sich vielleicht eine einfache aber sichere Funktion schreibt, die Eingaben prüft, evtl. auch mit verschiedenen Parametern, um bestimmte Zeichensätze abzuprüfen, beispielsweise unter Verwendung von regulären Ausdrücken.

      DENN, wenn die Leute endlich lernen würden, wie man ordentlich PHP programmiert, dann gäbe es nicht Hunderte von Forensoftware und Kontaktformulare/Gästebüchern, die dann Millionenfach Spam versenden.

      Ich hoffe also, dass das Thema wieder aus dem Offtopic herauskommt und wir hier in einer ernsthaften Diskussion erörtern könnten, wie eine möglichst einfache und möglichst immer verwendbare Funktion zur Formularprüfung aussehen könnte, die zumindest einen Großteil von Angriffen abhalten würde.

      Speziellere Funktionen können ja dann erfahrenere Programmierer selbst basteln.

      Bye,
      Drillon
      Zuletzt geändert von drillson; 15.09.2005, 10:10.

      Kommentar


      • #4
        Hallo,

        das PHP Developer-Forum hier ist für konkrete Probleme mit einem bestimmten PHP-Script da - das hier ist einfach was allgemeines - könnt vielleicht höchstens noch ins Sicherheitsforum rein. Im übrigen gibts über dieses Thema hier beinahe täglich Diskusssionen und es wird oft genug beschrieben wie's gemacht werden sollte.

        Kann mich täuschen, aber ich glaub ich hab heut schon ein oder zwei taufrische Threads zum Thema hier irgendwo gesehen.

        Gruss
        Quetschi
        Ihr habt ein Torturial durchgearbeitet, das auf den mysql_-Funktionen aufbaut?
        Schön - etwas Geschichte kann ja nicht schaden.
        Aber jetzt seht euch bitte php.net/pdo oder php.net/mysqli bevor ihr beginnt!

        Kommentar


        • #5
          DENN, wenn die Leute endlich lernen würden, wie man ordentlich PHP programmiert,
          OffTopic:
          Ja, davon träume ich auch schon so lange


          Ich hoffe also, dass das Thema wieder aus dem Offtopic herauskommt und wir hier in einer ernsthaften Diskussion erörtern könnten, wie eine möglichst einfache und möglichst immer verwendbare Funktion zur Formularprüfung aussehen könnte, die zumindest einen Großteil von Angriffen abhalten würde.
          Bin mir zwar eigentlich sicher, dass wir da schon üfters drüber geredet haben, aber das Thema darf gerne diskutiert werden. Wenn eine Funktion für die Code-Snippets bei rum kommt, umso besser!

          Ins PHP-Forum verschiebe ich trotzdem nicht:
          Hier habt ihr die Möglichkeit, eure Skriptprobleme mit anderen Anwendern zu diskutieren.

          Kommentar


          • #6
            Naja, sicher programmieren ist garnicht mal so einfach - es gibt ne Menge Leute die z.B. $_SERVER['PHP_SELF'] einfach so vertrauen (ist ja im _Server-Array) und das nicht escapen.. Was wiederum zu XSS führen kann ... Gibt so einige Dinge auf die IMHO nicht gut genug hingewiesen wird
            Für alle die Fehler suchen, gibts gratis tolle Debuggingmöglichkeiten:
            var_dump(), print_r(), debug_backtrace und echo.
            Außerdem gibt es für unsere Neueinsteiger ein hervorragendes PHP Tutorial zu PHP 4 und PHP 5 (OOP)
            Es heißt $array['index'] und nicht $array[index]! Und nein, das ist nicht egal!
            Dieses Thema lesen, um Ärger im Forum und verzögerte Hilfen zu vermeiden.

            Kommentar


            • #7
              Ihr seid gerne dazu eingeladen dies hier zu tun...

              Kommentar


              • #8
                Ja, werde sicherlich irgendwann mal einen umfangreicheren Beitrag dazu schreiben... wenn ich denn mal die Zeit dazu hätte... folglich erst nach den Klausuren
                Für alle die Fehler suchen, gibts gratis tolle Debuggingmöglichkeiten:
                var_dump(), print_r(), debug_backtrace und echo.
                Außerdem gibt es für unsere Neueinsteiger ein hervorragendes PHP Tutorial zu PHP 4 und PHP 5 (OOP)
                Es heißt $array['index'] und nicht $array[index]! Und nein, das ist nicht egal!
                Dieses Thema lesen, um Ärger im Forum und verzögerte Hilfen zu vermeiden.

                Kommentar


                • #9
                  Ja, werde sicherlich irgendwann mal einen umfangreicheren Beitrag dazu schreiben...
                  jaja, das hat Benny damals zum Thema Google-Tut auch gesagt

                  Kommentar

                  Lädt...
                  X