Sicherheit in PHP-Skripts

Einklappen
Dieses Thema ist geschlossen.
X
X
 
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

  • Sicherheit in PHP-Skripts

    Sersde,

    ich würde gerne mal wissen, was man alles für die Sicherheit von PHP-Skripts tun kann.

    Bisher
    - prüfe ich alle Variablen, die Zahlen sein sollen mit is_numeric()
    - escape ich alle GET-vars mit mysql_real_escape_string()
    - entferne ich alle Tags mit strip_tags()
    - habe ich register_globals abgeschaltet

    Meint ihr, das reicht schon? Was kann man noch machen?

    Simon
    Tempim.de - Dein kostenloser Bildhoster
    Tipps und Tricks für Webmaster

  • #2
    Wie viel Threads willst du noch öffnen? das ist nummer drei!

    Das Thema ist mit sicherheit älter als du Programmierst, also muss nicht alles von neuem platt getratscht werden...

    entferne ich alle Tags mit strip_tags()
    Wozu? Du veränderst den eigegebenen Inhalt nicht unwesentlich!

    Kommentar


    • #3
      Original geschrieben von TobiaZ
      Wie viel Threads willst du noch öffnen? das ist nummer drei!

      Das Thema ist mit sicherheit älter als du Programmierst, also muss nicht alles von neuem platt getratscht werden...

      Wozu? Du veränderst den eigegebenen Inhalt nicht unwesentlich!
      ja, aber es ist nicht gerade toll, wenn man auf dem client alerts öffnen kann
      Tempim.de - Dein kostenloser Bildhoster
      Tipps und Tricks für Webmaster

      Kommentar


      • #4
        ja, aber es ist nicht gerade toll, wenn man auf dem client alerts öffnen kann
        Kannst du das nach htmlspecialchars() noch?

        Kommentar


        • #5
          Original geschrieben von TobiaZ
          Kannst du das nach htmlspecialchars() noch?
          nein. aber was spricht gegen strip-tags?
          Tempim.de - Dein kostenloser Bildhoster
          Tipps und Tricks für Webmaster

          Kommentar


          • #6
            htmlspecialchars escapt die HTML-Zeichen lediglich, so dass diese vom Browser nicht interpretiert werden. Striptags hingegen entfernt die Tags komplett, wie du dem Beispiel sehr schön entnehmen kannst!

            Kommentar


            • #7
              Original geschrieben von PHP-Desaster
              htmlspecialchars escapt die HTML-Zeichen lediglich, so dass diese vom Browser nicht interpretiert werden. Striptags hingegen entfernt die Tags komplett, wie du dem Beispiel sehr schön entnehmen kannst!
              das will ich ja. wenn einr meint, er müsste QT posten, soll er den in [QT][/QT] schreiben (die funktion mach ich demnächst.)
              Tempim.de - Dein kostenloser Bildhoster
              Tipps und Tricks für Webmaster

              Kommentar


              • #8
                OffTopic:
                Wat issn QT?
                Nur wenige wissen, wieviel man wissen muss, um zu wissen, wie wenig man weiß.

                Kommentar


                • #9
                  OffTopic:
                  Ne Bibliothek von Trolltech? *blickt ebenso ratlos drein*
                  Erst meckern, dann helfen!

                  Kommentar


                  • #10
                    QT = Quelltext
                    Tempim.de - Dein kostenloser Bildhoster
                    Tipps und Tricks für Webmaster

                    Kommentar


                    • #11
                      Bei der Ausgabe zu filtern (htmlspecialchars) ist sinnvoller. Lass doch einen <script>alert('huhu');</script> posten. Geht hier im Forum ja auch.
                      ich glaube

                      Kommentar


                      • #12
                        kann schon sein, dass das sinnvoller ist. aber ich finde es einfach besser, wenn da nicht mittendrin HTML ist
                        Tempim.de - Dein kostenloser Bildhoster
                        Tipps und Tricks für Webmaster

                        Kommentar


                        • #13
                          Die armen Zockerkinder, die sonst was in Ihrem Namen drin stehen haben...

                          BTW: Ich finde hier im Forum sollte man auch die wörter "ist", "ein", etc strippen. Sind ohehin nichtssagend.

                          Kommentar


                          • #14
                            Man ey, lösch doch jemand den User, bevor meine Kopfschmerzen noch schlimmer werden...

                            Ein netter Guide zum übersichtlichen Schreiben von PHP/MySQL-Code!

                            bei Klammersetzung bevorzuge ich jedoch die JavaCoding-Standards
                            Wie man Fragen richtig stellt

                            Kommentar


                            • #15
                              Man ey, lösch doch jemand den User, bevor meine Kopfschmerzen noch schlimmer werden...
                              OffTopic:

                              Dann solltest du am Vorabend eben weniger Saufen


                              **ganzSchnellWegMuss**

                              Gruss

                              tobi
                              Gutes Tutorial | PHP Manual | MySql Manual | PHP FAQ | Apache | Suchfunktion für eigene Seiten

                              [color=red]"An error does not become truth by reason of multiplied propagation, nor does truth become error because nobody sees it."[/color]
                              Mohandas Karamchand Gandhi (Mahatma Gandhi) (Source)

                              Kommentar

                              Lädt...
                              X