php-resource



Zurück   PHP-Scripte PHP-Tutorials PHP-Jobs und vieles mehr > Entwicklung > PHP Developer Forum
 

Login

 
eingeloggt bleiben
star Jetzt registrieren   star Passwort vergessen
 

 

 


PHP Developer Forum Hier habt ihr die Möglichkeit, eure Skriptprobleme mit anderen Anwendern zu diskutieren. Seid so fair und beantwortet auch Fragen von anderen Anwendern. Dieses Forum ist sowohl für ANFÄNGER als auch für PHP-Profis! Fragen zu Laravel, YII oder anderen PHP-Frameworks.

Antwort
 
LinkBack Themen-Optionen Thema bewerten
  #16 (permalink)  
Alt 12-06-2008, 15:55
simauki
 Newbie
Links : Onlinestatus : simauki ist offline
Registriert seit: Mar 2004
Beiträge: 93
simauki ist zur Zeit noch ein unbeschriebenes Blatt
Standard

Hallo, was soll ich den dann tun? MfG Simauki
Mit Zitat antworten
  #17 (permalink)  
Alt 12-06-2008, 15:57
H2O
 PHP Junior
Links : Onlinestatus : H2O ist offline
Registriert seit: Jul 2007
Beiträge: 937
H2O ist zur Zeit noch ein unbeschriebenes Blatt
Standard

Zitat:
Original geschrieben von jahlives
Kennst du denn was mieseres als alle Dateien zu löschen?
Z.B. Fhishing-Software auf seinen Server schleusen
__________________
Gruss
H2O
Mit Zitat antworten
  #18 (permalink)  
Alt 12-06-2008, 15:58
Benutzerbild von onemorenerd onemorenerd
  Moderator
Links : Onlinestatus : onemorenerd ist offline
Registriert seit: Mar 2005
Ort: Berlin
Beiträge: 9.471
onemorenerd wird schon bald berühmt werdenonemorenerd wird schon bald berühmt werden
Standard

Maschine kapern und im Namen des Eigentümers/Mieters Straftaten begehen wie etwa Verbreiten von Kinderpornographie, Spamversand oder Phising von Bankdaten.
Das kann zu finanziellem Ruin und Knast führen, deutlich schlimmer also als eine Entschlüsselungsgebühr.

Um dem TO das zu ersparen, muss er entweder die POST- oder REQUEST-Daten säubern, bspw. mit filter_input(). Das hat allerdings den Nachteil, dass das Passwort dadurch u.U. nicht korrekt gespeichert wird.
Besser wäre, wenn er die Daten mit base64_encode() umwandelt, dann speichert und beim Verwenden als Variable mit base64_decode() wieder zurckwandelt.
Mit Zitat antworten
  #19 (permalink)  
Alt 12-06-2008, 16:00
jahlives
 Master
Links : Onlinestatus : jahlives ist offline
Registriert seit: Jun 2004
Ort: Hooker in Kernel
Beiträge: 8.279
jahlives ist zur Zeit noch ein unbeschriebenes Blatt
Standard

Zitat:
Fhishing-Software auf seinen Server schleusen
OffTopic:

Ah du meinst Angel Version 3 und Fischer Version 4

__________________
Gutes Tutorial | PHP Manual | MySql Manual | PHP FAQ | Apache | Suchfunktion für eigene Seiten

"An error does not become truth by reason of multiplied propagation, nor does truth become error because nobody sees it."
Mohandas Karamchand Gandhi (Mahatma Gandhi) (Source)
Mit Zitat antworten
  #20 (permalink)  
Alt 12-06-2008, 16:02
H2O
 PHP Junior
Links : Onlinestatus : H2O ist offline
Registriert seit: Jul 2007
Beiträge: 937
H2O ist zur Zeit noch ein unbeschriebenes Blatt
Standard

Zitat:
Original geschrieben von simauki
Hallo, was soll ich den dann tun?
Das hängt natürlich davon ab wie dein Auswahlformular aufgebaut ist. Eine einfache Möglichkeit: Weise deinen Datenbanken eine nummerische ID zu, und übergebe nur diese. Auf der anderen Seite überprüfst du, ob es sich um eine gültige Nummer handelt und holst dann die dazugehörige Datenbank.
__________________
Gruss
H2O
Mit Zitat antworten
  #21 (permalink)  
Alt 12-06-2008, 16:05
simauki
 Newbie
Links : Onlinestatus : simauki ist offline
Registriert seit: Mar 2004
Beiträge: 93
simauki ist zur Zeit noch ein unbeschriebenes Blatt
Standard

Hallo, das ist doch aber nur eine Lösung für dieses eine $_Post. Das Problem scheint doch aber genereller Natur zu sein. Auf http://www.peterkropff.de steht nichts näheres dazu...

MfG Simauki
Mit Zitat antworten
  #22 (permalink)  
Alt 12-06-2008, 16:13
Benutzerbild von onemorenerd onemorenerd
  Moderator
Links : Onlinestatus : onemorenerd ist offline
Registriert seit: Mar 2005
Ort: Berlin
Beiträge: 9.471
onemorenerd wird schon bald berühmt werdenonemorenerd wird schon bald berühmt werden
Standard

Nene, es ist kein generelles Problem. Also Sicherheitslöcher schon, aber deins ist ein besonderes.
Du lässt dir per GET oder POST einen String übergeben, speicherst ihn in einer Datei. Soweit so harmlos. Aber dann führst diese Datei als PHP-Code aus.
Alles in allem läßt du dir also potentiell PHP-Code übergeben und führst ihn aus. Das Beispiel weiter oben im Thread zeigt, wozu das führen kann.

Generell hat man das Problem nicht, weil man sich normalerweise nur Daten übergeben lässt, sie wegspeichert und eben nicht als PHP-Code ausführt.
Mit Zitat antworten
  #23 (permalink)  
Alt 12-06-2008, 16:13
asp2php
 Banned
Links : Onlinestatus : asp2php ist offline
Registriert seit: Feb 2004
Beiträge: 11.745
asp2php ist zur Zeit noch ein unbeschriebenes Blatt
Standard

Zitat:
Original geschrieben von simauki
Auf http://www.peterkropff.de steht nichts näheres dazu...
Ach der Peter hat ja noch Probleme mit Injection Bekämpfung, da er auch keine Ahnung drüber hat *ROFL*, deshalb besteht seine Seite auch nur aus statische HTML-Seiten ... dort kannst du also nicht viel drüber finden

** duck ** und ** wegrenn **

Geändert von asp2php (12-06-2008 um 16:17 Uhr)
Mit Zitat antworten
  #24 (permalink)  
Alt 12-06-2008, 16:16
Benutzerbild von onemorenerd onemorenerd
  Moderator
Links : Onlinestatus : onemorenerd ist offline
Registriert seit: Mar 2005
Ort: Berlin
Beiträge: 9.471
onemorenerd wird schon bald berühmt werdenonemorenerd wird schon bald berühmt werden
Standard

OffTopic:
Perte = Peter + Perle ?
Mit Zitat antworten
  #25 (permalink)  
Alt 12-06-2008, 16:18
asp2php
 Banned
Links : Onlinestatus : asp2php ist offline
Registriert seit: Feb 2004
Beiträge: 11.745
asp2php ist zur Zeit noch ein unbeschriebenes Blatt
Standard

Zitat:
Original geschrieben von onemorenerd
OffTopic:
Perte = Peter + Perle ?
OffTopic:

Mit Zitat antworten
  #26 (permalink)  
Alt 12-06-2008, 16:33
simauki
 Newbie
Links : Onlinestatus : simauki ist offline
Registriert seit: Mar 2004
Beiträge: 93
simauki ist zur Zeit noch ein unbeschriebenes Blatt
Standard

Hallo, wie lös ich es denn da? Sicher, in diesem Beispiel kann ich mir eine andere Möglichkeit ausdenken, ohne die Variable in eine Datei zuschreiben. Aber so generell. Es gibt doch bei Webapplikation sicher öfters mal Bedarf an Live generierten Skripten, z.B. für einen Server individuell erstellte Konfiguration. Oder für versch. Benutzer erstellte Konfigurationen. Wenn ich das nun nicht über eine DB machen will, sondern das jeder Nutzer eine Skriptdatei bekommt, in der individuelle Parameter stehen...

MfG Simauki
Mit Zitat antworten
  #27 (permalink)  
Alt 12-06-2008, 16:42
h3ll
 Registrierter Benutzer
Links : Onlinestatus : h3ll ist offline
Registriert seit: Mar 2008
Beiträge: 3.589
h3ll befindet sich auf einem aufstrebenden Ast
Standard

Zitat:
Original geschrieben von simauki
Hallo, wie lös ich es denn da? Sicher, in diesem Beispiel kann ich mir eine andere Möglichkeit ausdenken, ohne die Variable in eine Datei zuschreiben. Aber so generell. Es gibt doch bei Webapplikation sicher öfters mal Bedarf an Live generierten Skripten, z.B. für einen Server individuell erstellte Konfiguration. Oder für versch. Benutzer erstellte Konfigurationen. Wenn ich das nun nicht über eine DB machen will, sondern das jeder Nutzer eine Skriptdatei bekommt, in der individuelle Parameter stehen...

MfG Simauki
Also ich speichere sowas immer in die Datenbank.
Mit Zitat antworten
  #28 (permalink)  
Alt 12-06-2008, 16:48
jahlives
 Master
Links : Onlinestatus : jahlives ist offline
Registriert seit: Jun 2004
Ort: Hooker in Kernel
Beiträge: 8.279
jahlives ist zur Zeit noch ein unbeschriebenes Blatt
Standard

DB oder nicht macht das Ganze bestimmt nicht sicherer. Du speicherst eine Usereingabe als PHP und führst es danach aus. Und genau das ist gefährlich. Ob jetzt dieser Code aus einer DB oder einem File kommt ist wurscht. Du musst den String bevor er eingetragen wird einfach sehr gut prüfen!
__________________
Gutes Tutorial | PHP Manual | MySql Manual | PHP FAQ | Apache | Suchfunktion für eigene Seiten

"An error does not become truth by reason of multiplied propagation, nor does truth become error because nobody sees it."
Mohandas Karamchand Gandhi (Mahatma Gandhi) (Source)
Mit Zitat antworten
  #29 (permalink)  
Alt 12-06-2008, 16:49
H2O
 PHP Junior
Links : Onlinestatus : H2O ist offline
Registriert seit: Jul 2007
Beiträge: 937
H2O ist zur Zeit noch ein unbeschriebenes Blatt
Standard

Zitat:
Original geschrieben von simauki
sondern das jeder Nutzer eine Skriptdatei bekommt, in der individuelle Parameter stehen...
Genau das ist der Unterschied. Es stehen dort Parameter und nicht Programm-Code. Du lässt doch nicht den Benutzer dein Programm schreiben. Ob du das nin in einer Datei ablegst, oder in einer Datenbank ist letztlich egal.
Grunsätzlich musst du davon ausgehen, dass alles was von den Benutzern kommt schlecht ist. Denn neben den DAU's, die nicht wissen, was sie eingeben, musst du immer auch mit SAU's (schlechtest anzunehmende user) rechnen. Deshalb muss alles, was von dort kommt, auf Gültigkeit überprüft weden.
__________________
Gruss
H2O
Mit Zitat antworten
Antwort

Lesezeichen


Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)
 

Themen-Optionen
Thema bewerten
Thema bewerten:

Forumregeln
Es ist Ihnen nicht erlaubt, neue Themen zu verfassen.
Es ist Ihnen nicht erlaubt, auf Beiträge zu antworten.
Es ist Ihnen nicht erlaubt, Anhänge hochzuladen.
Es ist Ihnen nicht erlaubt, Ihre Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are an


PHP News

ebiz-trader 7.5.0 mit PHP7 Unterstützung veröffentlicht
ebiz-trader 7.5.0 mit PHP7 Unterstützung veröffentlichtDie bekannte Marktplatzsoftware ebiz-trader ist in der Version 7.5.0 veröffentlicht worden.

28.05.2018 | Berni

Wissensbestand in Unternehmen
Wissensbestand in UnternehmenLebenslanges Lernen und Weiterbilden sichert Wissensbestand in Unternehmen

25.05.2018 | Berni


 

Aktuelle PHP Scripte

Top-Side Guestbook

Gästebuch auf Textbasis (kein MySQL nötig) mit Smilies, Ip Sperre (Zeit selbst einstellbar), Spamschutz, Captcha (Code-Eingabe), BB-Code, Hitcounter, Löschfunktion, Editierfunktion, Kommentarfunktion, Kürzung langer Wörter, Seiten- bzw. Blätterfunktion, V

22.10.2018 webmaster10 | Kategorie: PHP/ Gaestebuch
ebiz-trader 6.0 - Das professionelle PHP Marktplatz Script ansehen ebiz-trader 6.0 - Das professionelle PHP Marktplatz Script

Mit unserer Lösungen können Sie nahezu jeden B2B / B2C Marktplatz betreiben den Sie sich vorstellen können. Ganz egal ob Sie einen Automarktplatz, Immobilenportal oder einfach einen Anzeigenmarkt betreiben möchten. Mit ebiz-trader können Sie Ihre Anforder

11.10.2018 Berni | Kategorie: PHP/ Anzeigenmarkt
PHP Server Monitor

PHP Server Monitor ist ein Skript, das prüft, ob Ihre Websites und Server betriebsbereit sind.

11.09.2018 Berni | Kategorie: PHP/ Security
 Alle PHP Scripte anzeigen

Alle Zeitangaben in WEZ +2. Es ist jetzt 07:32 Uhr.