Tweet
Hallo, was soll ich den dann tun? MfG Simauki
-
-
Z.B. Fhishing-Software auf seinen Server schleusenOriginal geschrieben von jahlives
Kennst du denn was mieseres als alle Dateien zu löschen?
Gruss
H2OKommentar
-
Maschine kapern und im Namen des Eigentümers/Mieters Straftaten begehen wie etwa Verbreiten von Kinder********************graphie, Spamversand oder Phising von Bankdaten.
Das kann zu finanziellem Ruin und Knast führen, deutlich schlimmer also als eine Entschlüsselungsgebühr.
Um dem TO das zu ersparen, muss er entweder die POST- oder REQUEST-Daten säubern, bspw. mit filter_input(). Das hat allerdings den Nachteil, dass das Passwort dadurch u.U. nicht korrekt gespeichert wird.
Besser wäre, wenn er die Daten mit base64_encode() umwandelt, dann speichert und beim Verwenden als Variable mit base64_decode() wieder zurckwandelt.Kommentar
-
Fhishing-Software auf seinen Server schleusenOffTopic:
Ah du meinst Angel Version 3 und Fischer Version 4
Gutes Tutorial | PHP Manual | MySql Manual | PHP FAQ | Apache | Suchfunktion für eigene Seiten
[color=red]"An error does not become truth by reason of multiplied propagation, nor does truth become error because nobody sees it."[/color]
Mohandas Karamchand Gandhi (Mahatma Gandhi) (Source)Kommentar
-
Das hängt natürlich davon ab wie dein Auswahlformular aufgebaut ist. Eine einfache Möglichkeit: Weise deinen Datenbanken eine nummerische ID zu, und übergebe nur diese. Auf der anderen Seite überprüfst du, ob es sich um eine gültige Nummer handelt und holst dann die dazugehörige Datenbank.Original geschrieben von simauki
Hallo, was soll ich den dann tun?Gruss
H2OKommentar
-
Hallo, das ist doch aber nur eine Lösung für dieses eine $_Post. Das Problem scheint doch aber genereller Natur zu sein. Auf http://www.peterkropff.de steht nichts näheres dazu...
MfG SimaukiKommentar
-
Nene, es ist kein generelles Problem. Also Sicherheitslöcher schon, aber deins ist ein besonderes.
Du lässt dir per GET oder POST einen String übergeben, speicherst ihn in einer Datei. Soweit so harmlos. Aber dann führst diese Datei als PHP-Code aus.
Alles in allem läßt du dir also potentiell PHP-Code übergeben und führst ihn aus. Das Beispiel weiter oben im Thread zeigt, wozu das führen kann.
Generell hat man das Problem nicht, weil man sich normalerweise nur Daten übergeben lässt, sie wegspeichert und eben nicht als PHP-Code ausführt.Kommentar
-
Ach der Peter hat ja noch Probleme mit Injection Bekämpfung, da er auch keine Ahnung drüber hat *ROFL*, deshalb besteht seine Seite auch nur aus statische HTML-Seiten
... dort kannst du also nicht viel drüber finden 
** duck ** und ** wegrenn **
Zuletzt geändert von asp2php; 12.06.2008, 15:17.Kommentar
-
OffTopic:
Perte = Peter + Perle ?Kommentar
-
Original geschrieben von onemorenerd
OffTopic:
Perte = Peter + Perle ?OffTopic:
Kommentar
-
Hallo, wie lös ich es denn da? Sicher, in diesem Beispiel kann ich mir eine andere Möglichkeit ausdenken, ohne die Variable in eine Datei zuschreiben. Aber so generell. Es gibt doch bei Webapplikation sicher öfters mal Bedarf an Live generierten Skripten, z.B. für einen Server individuell erstellte Konfiguration. Oder für versch. Benutzer erstellte Konfigurationen. Wenn ich das nun nicht über eine DB machen will, sondern das jeder Nutzer eine Skriptdatei bekommt, in der individuelle Parameter stehen...
MfG SimaukiKommentar
-
Also ich speichere sowas immer in die Datenbank.Original geschrieben von simauki
Hallo, wie lös ich es denn da? Sicher, in diesem Beispiel kann ich mir eine andere Möglichkeit ausdenken, ohne die Variable in eine Datei zuschreiben. Aber so generell. Es gibt doch bei Webapplikation sicher öfters mal Bedarf an Live generierten Skripten, z.B. für einen Server individuell erstellte Konfiguration. Oder für versch. Benutzer erstellte Konfigurationen. Wenn ich das nun nicht über eine DB machen will, sondern das jeder Nutzer eine Skriptdatei bekommt, in der individuelle Parameter stehen...
MfG SimaukiKommentar
-
DB oder nicht macht das Ganze bestimmt nicht sicherer. Du speicherst eine Usereingabe als PHP und führst es danach aus. Und genau das ist gefährlich. Ob jetzt dieser Code aus einer DB oder einem File kommt ist wurscht. Du musst den String bevor er eingetragen wird einfach sehr gut prüfen!Gutes Tutorial | PHP Manual | MySql Manual | PHP FAQ | Apache | Suchfunktion für eigene Seiten
[color=red]"An error does not become truth by reason of multiplied propagation, nor does truth become error because nobody sees it."[/color]
Mohandas Karamchand Gandhi (Mahatma Gandhi) (Source)Kommentar
-
Genau das ist der Unterschied. Es stehen dort Parameter und nicht Programm-Code. Du lässt doch nicht den Benutzer dein Programm schreiben. Ob du das nin in einer Datei ablegst, oder in einer Datenbank ist letztlich egal.Original geschrieben von simauki
sondern das jeder Nutzer eine Skriptdatei bekommt, in der individuelle Parameter stehen...
Grunsätzlich musst du davon ausgehen, dass alles was von den Benutzern kommt schlecht ist. Denn neben den DAU's, die nicht wissen, was sie eingeben, musst du immer auch mit SAU's (schlechtest anzunehmende user) rechnen. Deshalb muss alles, was von dort kommt, auf Gültigkeit überprüft weden.Gruss
H2OKommentar
Moderator
Kommentar