php-resource



Zurück   PHP-Scripte PHP-Tutorials PHP-Jobs und vieles mehr > Entwicklung > PHP Developer Forum
 

Login

 
eingeloggt bleiben
star Jetzt registrieren   star Passwort vergessen
 

 

 


PHP Developer Forum Hier habt ihr die Möglichkeit, eure Skriptprobleme mit anderen Anwendern zu diskutieren. Seid so fair und beantwortet auch Fragen von anderen Anwendern. Dieses Forum ist sowohl für ANFÄNGER als auch für PHP-Profis! Fragen zu Laravel, YII oder anderen PHP-Frameworks.

Antwort
 
LinkBack Themen-Optionen Thema bewerten
  #16 (permalink)  
Alt 07-12-2009, 14:19
ComicKopf
 Registrierter Benutzer
Links : Onlinestatus : ComicKopf ist offline
Registriert seit: Feb 2003
Beiträge: 89
ComicKopf ist zur Zeit noch ein unbeschriebenes Blatt
Standard

@onemorenerd:
Stimmt, mit dem Benutzernamen und der Passwortprüfung hast du recht, guter Einwand.


PHP-Code:
if(preg_match("/^[0-9]{1,10}$/",$_SESSION["bnr"]) AND $_SESSION["bnr"]>0){ } 
Die Benutzernummer überprüfe ich auf die Art, damit ich sichergehe, dass sie auch wirklich nach dem Einloggen von meinem Skript gesetzt wurde.
Wie hättest du das überprüft?
Also gibt es keine Möglichkeit eine $_SESSION[] Varibale anders zu setzen, also für Außenstehende?
Mit Zitat antworten
  #17 (permalink)  
Alt 07-12-2009, 16:23
Benutzerbild von onemorenerd onemorenerd
  Moderator
Links : Onlinestatus : onemorenerd ist offline
Registriert seit: Mar 2005
Ort: Berlin
Beiträge: 9.471
onemorenerd wird schon bald berühmt werdenonemorenerd wird schon bald berühmt werden
Standard

Wenn du in deinem Code keine solche Möglichkeit (versehentlich!?) eingebaut hast, nein.
Von außen kann man nur GET-, POST-, COOKIE- und einige SERVER-Variablen beeinflussen, SESSION jedoch nicht. Der Client bekommt ja nur Session-ID mitgeteilt und schickt sie bei jedem Request wieder mit. Die Session-Daten verlassen den Server nie. Sie werden auf dem Server gespeichert und beim session_start() schaut PHP, ob der Client eine Session-ID mitgeschickt hat, ob auf dem Server zu dieser ID Daten gespeichert sind und wenn dem so ist, werden die Daten in $_SESSION geladen. Der Client kann diesen Prozess nicht beeinflussen. Er kann höchstens seine Session-ID manipulieren. Mit sehr viel Glück landet er dann in der Session eines anderen Clients. Höchstwahrscheinlich ist die manipulierte Session-ID dem Server aber überhaupt nicht bekannt.
Mit Zitat antworten
  #18 (permalink)  
Alt 08-12-2009, 00:02
ComicKopf
 Registrierter Benutzer
Links : Onlinestatus : ComicKopf ist offline
Registriert seit: Feb 2003
Beiträge: 89
ComicKopf ist zur Zeit noch ein unbeschriebenes Blatt
Standard

Danke.

Ich möchte hinter diesem Skript eine Möglichkeit Newsbeiträge zu schreiben und Inhalte der Website zu ändern. Reicht das dazu aus, oder empfehlt ihr mir zusätzliche Sicherheitsmaßnahmen?

Gruß
Mit Zitat antworten
  #19 (permalink)  
Alt 08-12-2009, 00:58
Benutzerbild von onemorenerd onemorenerd
  Moderator
Links : Onlinestatus : onemorenerd ist offline
Registriert seit: Mar 2005
Ort: Berlin
Beiträge: 9.471
onemorenerd wird schon bald berühmt werdenonemorenerd wird schon bald berühmt werden
Standard

Rhetorische Frage, oder? Jede Sicherheitsmaßnahme ist sinnvoll. Man ist nie zu sicher.

Aber man kann natürlich nicht jede mögliche Maßnahme umsetzen. Die Kosten müssen in gesunder Relation zum Nutzen, sprich der Schutzwirkung und dem geschützten Gut stehen.

Das größte Sicherheitsrisiko ist aber immer der Mensch. Damit meine ich dich! Den Programmierer. Hier ein Beispiel.
Also mach dich schlau und immer schlauer. Und sieh zu, dass du immer nur mit solchen Dingen zu tun hast, deren Verlust oder Mißbrauch du verantworten kannst. Kleine Brötchen backen ... noch kein Meister vom Himmel gefallen und so ...

Geändert von onemorenerd (08-12-2009 um 01:00 Uhr)
Mit Zitat antworten
  #20 (permalink)  
Alt 08-12-2009, 01:44
ComicKopf
 Registrierter Benutzer
Links : Onlinestatus : ComicKopf ist offline
Registriert seit: Feb 2003
Beiträge: 89
ComicKopf ist zur Zeit noch ein unbeschriebenes Blatt
Standard

Das ist klar...
Kannst du mir vielleicht ein paar Links empfehlen?
Es ist immer schwer nach etwas so grobem zu suchen... Wahrscheinlich kennst du dich da schon besser aus.
Mit Zitat antworten
  #21 (permalink)  
Alt 08-12-2009, 02:13
combie
 PHP Expert
Links : Onlinestatus : combie ist offline
Registriert seit: May 2006
Beiträge: 3.296
combie wird schon bald berühmt werden
Standard

Google: "session sicherheit php ssl cookie"
__________________
Wir werden alle sterben
Mit Zitat antworten
  #22 (permalink)  
Alt 08-12-2009, 02:39
ComicKopf
 Registrierter Benutzer
Links : Onlinestatus : ComicKopf ist offline
Registriert seit: Feb 2003
Beiträge: 89
ComicKopf ist zur Zeit noch ein unbeschriebenes Blatt
Standard

Ok, werde ich machen - ich danke für eure Hilfe
Mit Zitat antworten
  #23 (permalink)  
Alt 08-12-2009, 02:42
Benutzerbild von onemorenerd onemorenerd
  Moderator
Links : Onlinestatus : onemorenerd ist offline
Registriert seit: Mar 2005
Ort: Berlin
Beiträge: 9.471
onemorenerd wird schon bald berühmt werdenonemorenerd wird schon bald berühmt werden
Standard

Hmpf, mein letzter Beitrag hat es wohl nicht rüber gebracht. Ich formuliere mal anders:

Sicherheit ist die Abwesenheit von Sicherheitsmängeln.
Auf die Frage wie du Sicherheit erreichen kannst, gibt es eine alles erschlagende Antwort: Vermeide Sicherheitsmängel.

Daraus ergeben sich zwei weitere Fragen: Welche Sicherheitsmängel gibt es und wie kannst du sie vermeiden?

Für eine Antwort google einfach mal nach web security. Beim Lesen der ersten 100 von 177 Mio. Treffern werden dir wahrscheinlich ein paar* Begriffe und Abkürzungen immer wieder begegnen. Die kannst du wieder an Google verfüttern ...


*) Es gibt ungefähr zehnhochunendlichmalixplusk viel mehr als die von combie genannten und jeden Tag werden es mehr.

Geändert von onemorenerd (08-12-2009 um 02:44 Uhr)
Mit Zitat antworten
Antwort

Lesezeichen


Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)
 

Ähnliche Themen
Thema Autor Forum Antworten Letzter Beitrag
Ist dieser Login sicher? Gazorbeam PHP Developer Forum 12 30-10-2007 11:10
Login ja, aber sicher? xJonx PHP Developer Forum 52 07-02-2007 23:34
Login - sicher? sinusweb PHP Developer Forum 2 31-01-2007 22:29
Idee für Login System dibsi PHP Developer Forum 13 12-10-2006 10:29
mrhappiness Login Script - Wie sicher? xManUx PHP Developer Forum 15 29-03-2004 15:25

Themen-Optionen
Thema bewerten
Thema bewerten:

Forumregeln
Es ist Ihnen nicht erlaubt, neue Themen zu verfassen.
Es ist Ihnen nicht erlaubt, auf Beiträge zu antworten.
Es ist Ihnen nicht erlaubt, Anhänge hochzuladen.
Es ist Ihnen nicht erlaubt, Ihre Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are an


PHP News

ebiz-trader 7.5.0 mit PHP7 Unterstützung veröffentlicht
ebiz-trader 7.5.0 mit PHP7 Unterstützung veröffentlichtDie bekannte Marktplatzsoftware ebiz-trader ist in der Version 7.5.0 veröffentlicht worden.

28.05.2018 | Berni

Wissensbestand in Unternehmen
Wissensbestand in UnternehmenLebenslanges Lernen und Weiterbilden sichert Wissensbestand in Unternehmen

25.05.2018 | Berni


 

Aktuelle PHP Scripte

PHP Server Monitor

PHP Server Monitor ist ein Skript, das prüft, ob Ihre Websites und Server betriebsbereit sind.

11.09.2018 Berni | Kategorie: PHP/ Security
PHP WEB STATISTIK ansehen PHP WEB STATISTIK

Die PHP Web Statistik bietet Ihnen ein einfach zu konfigurierendes Script zur Aufzeichnung und grafischen und textuellen Auswertung der Besuchern Ihrer Webseite. Folgende zeitlichen Module sind verfügbar: Jahr, Monat, Tag, Wochentag, Stunde Folgende son

28.08.2018 phpwebstat | Kategorie: PHP/ Counter
Affilinator - Affilinet XML Produktlisten Skript

Die Affilinator Affilinet XML Edition ist ein vollautomatisches Skript zum einlesen und darstellen der Affili.net (Partnerprogramm Netzwerk) Produktlisten und Produktdaten. Im Grunde gibt der Webmaster seine Affilinet PartnerID ein und hat dann unmittelb

27.08.2018 freefrank@ | Kategorie: PHP/ Partnerprogramme
 Alle PHP Scripte anzeigen

Alle Zeitangaben in WEZ +2. Es ist jetzt 07:07 Uhr.