php-resource



Zurück   PHP-Scripte PHP-Tutorials PHP-Jobs und vieles mehr > Entwicklung > PHP Developer Forum
 

Login

 
eingeloggt bleiben
star Jetzt registrieren   star Passwort vergessen
 

 

 


PHP Developer Forum Hier habt ihr die Möglichkeit, eure Skriptprobleme mit anderen Anwendern zu diskutieren. Seid so fair und beantwortet auch Fragen von anderen Anwendern. Dieses Forum ist sowohl für ANFÄNGER als auch für PHP-Profis! Fragen zu Laravel, YII oder anderen PHP-Frameworks.

Antwort
 
LinkBack Themen-Optionen Thema bewerten
  #1 (permalink)  
Alt 05-01-2010, 15:45
Kangarooo
 Registrierter Benutzer
Links : Onlinestatus : Kangarooo ist offline
Registriert seit: Nov 2009
Beiträge: 225
Kangarooo kann nur auf Besserung hoffen
Standard Link vor Fremdeingabe schützen!

Hallo!
bei mir wird in einem Menü durch klicken eine Sortierung vorgenommen! Je nachdem auf welchen Pfeil man klickt wird es eben ASC oder DESC sortiert, der Wert dafür wird in einem Link übergeben. Wie kann ich es schaffen, dass der Link nicht manipuliert werden kann, denn sobald ich by der Variable "by" im Link etwas anderes eingebe spinnt ja die DB Abfrage total!
PHP-Code:
menu.php?lang=1&media=38&sort=city&by=ASC 
Danke schonmal für die Hilfe!
Mit Zitat antworten
  #2 (permalink)  
Alt 05-01-2010, 15:52
unset
  Moderator
Links : Onlinestatus : unset ist offline
Registriert seit: Jan 2007
Ort: Düsseldorf
Beiträge: 3.782
unset befindet sich auf einem aufstrebenden Ast
Standard

Verhindern kannst du die Manipulation gar nicht nicht –*aber du musst sie auch nicht auswerten. Genau genommen darfst du sie gar nicht auswerten, denn so lässt sich beliebiger SQL-Code einschleusen, was im schlimmsten Fall einen Einbruch in dein System ermöglicht –*aber auch so schon genug schaden anrichten kann. Mach dich darüber schlau, was SQL-Injections sind und wie man sie verhindert!
Mit Zitat antworten
  #3 (permalink)  
Alt 06-01-2010, 15:03
rossixx
 Registrierter Benutzer
Links : Onlinestatus : rossixx ist offline
Registriert seit: Jul 2003
Ort: Berlin
Beiträge: 514
Blog-Einträge: 2
rossixx wird schon bald berühmt werden
Exclamation oder mit HASH

arbeiten.

noch besser mit hash , session und https.

sicher ist sicher. wobei nie etwas 100% sicher ist, das ist sicher.
Mit Zitat antworten
  #4 (permalink)  
Alt 06-01-2010, 15:26
unset
  Moderator
Links : Onlinestatus : unset ist offline
Registriert seit: Jan 2007
Ort: Düsseldorf
Beiträge: 3.782
unset befindet sich auf einem aufstrebenden Ast
Standard

Gewöhn du dir mal lieber ab deine Sätze im Betreff zu beginnen und im Text fortzuführen. Das Titel-Feld ist kein Pflichtfeld bei Replies!
Mit Zitat antworten
  #5 (permalink)  
Alt 06-01-2010, 16:38
rossixx
 Registrierter Benutzer
Links : Onlinestatus : rossixx ist offline
Registriert seit: Jul 2003
Ort: Berlin
Beiträge: 514
Blog-Einträge: 2
rossixx wird schon bald berühmt werden
Standard

ich versuche es in zukunft zu berücksichtigen.
Mit Zitat antworten
  #6 (permalink)  
Alt 06-01-2010, 21:21
TobiaZ
  Moderator
Links : Onlinestatus : TobiaZ ist offline
Registriert seit: Jan 2001
Ort: MUC und MGL, Germany
Beiträge: 34.421
Blog-Einträge: 1
TobiaZ befindet sich auf einem aufstrebenden Ast
Standard

kannst du die drei Stichwörter vielleicht mal kurz erklären, wie du sie konkret einsetzt/einsetzen würdest?
__________________
ERST LESEN: Unsere Regeln. | Ich hab schon Pferde kotzen sehn!

READ THIS: Strings richtig trennen/verbinden | JOINs, das leidige Thema | Wegwerf E-Mail Adressen

Ich werde keinen privaten 1:1 Support leisten, außer ich biete ihn ausdrücklich an.

Wenn man sich selbst als "Noob" bezeichnet, sollte man die Finger davon lassen.
Wenn man gewillt ist daran etwas zu ändern, lernt man Grundlagen!
Mit Zitat antworten
  #7 (permalink)  
Alt 07-01-2010, 16:47
rossixx
 Registrierter Benutzer
Links : Onlinestatus : rossixx ist offline
Registriert seit: Jul 2003
Ort: Berlin
Beiträge: 514
Blog-Einträge: 2
rossixx wird schon bald berühmt werden
Arrow

Session

wird vergeben, wenn der user eine seite aufruft, ist an die aufrufende IP gebunden, damit kein andere einfach die session übernehmen kann.

hash

es wird ein hash schluessel generiert, der wird mit der seite per get oder post mitgereicht,

dieser schluessel generiet sich aus den mitgereichten variablen / werten und einem geheimen schluessel, werden die daten oder schluessel manipuliert, tritt eine fehler oder warnmeldung auf, und die daten werden auf keinen fall verarbeitet.


https

sollte grundsätzlich eingesetzt werden, wenn private daten oder zu schützende daten wie passwörter / userdaten versendet werden. damit keine unverschlüsselten daten durch netz gehen...


meine beschreibung ist bestimmt nicht die beste, korrekturen und kritik kann ich vertragen.
Mit Zitat antworten
  #8 (permalink)  
Alt 07-01-2010, 17:22
TobiaZ
  Moderator
Links : Onlinestatus : TobiaZ ist offline
Registriert seit: Jan 2001
Ort: MUC und MGL, Germany
Beiträge: 34.421
Blog-Einträge: 1
TobiaZ befindet sich auf einem aufstrebenden Ast
Standard

Also, ich kann durchaus was mit deiner Beschreibung anafangen, jedoch "verhindert" ja lediglich die Hash-Methode ein Manupulieren der URL. Ob de zusätzliche Aufwand gerechtfertigt ist, muss jeder selbst wissen. Da würde ich dir also generell zustimmen.

Der Einsatz einer "IP-gekoppelten Session" kann generell sinnvoll sein, genauso wie der Einsatz von SSL. Jedoch spielt das hier absolut keine Rolle, oder? Wo würdest du die beiden Methoden hier sinnvoll einsetzen?

Ich würde hier generell so vorgehen, wie auch unset es schon beschrieben hat: Nur gültige Werte durchlassen und alles andere mit einer Fehlermeldung quittieren.
__________________
ERST LESEN: Unsere Regeln. | Ich hab schon Pferde kotzen sehn!

READ THIS: Strings richtig trennen/verbinden | JOINs, das leidige Thema | Wegwerf E-Mail Adressen

Ich werde keinen privaten 1:1 Support leisten, außer ich biete ihn ausdrücklich an.

Wenn man sich selbst als "Noob" bezeichnet, sollte man die Finger davon lassen.
Wenn man gewillt ist daran etwas zu ändern, lernt man Grundlagen!
Mit Zitat antworten
  #9 (permalink)  
Alt 07-01-2010, 17:30
h3ll
 Registrierter Benutzer
Links : Onlinestatus : h3ll ist offline
Registriert seit: Mar 2008
Beiträge: 3.593
h3ll befindet sich auf einem aufstrebenden Ast
Standard

Zitat:
Zitat von rossixx Beitrag anzeigen
Session

wird vergeben, wenn der user eine seite aufruft, ist an die aufrufende IP gebunden, damit kein andere einfach die session übernehmen kann.
Was ist, wenn der User eine wechselnde IP hat?
Mit Zitat antworten
  #10 (permalink)  
Alt 07-01-2010, 17:47
rossixx
 Registrierter Benutzer
Links : Onlinestatus : rossixx ist offline
Registriert seit: Jul 2003
Ort: Berlin
Beiträge: 514
Blog-Einträge: 2
rossixx wird schon bald berühmt werden
Standard

pech.

dann mußt du dir eine andere lösung einfallen lassen. oder nicht auf ip sondern auf browser oder betriebssystem eingrenzen. das wäre eine alternative.
Mit Zitat antworten
  #11 (permalink)  
Alt 07-01-2010, 17:58
Benutzerbild von onemorenerd onemorenerd
  Moderator
Links : Onlinestatus : onemorenerd ist offline
Registriert seit: Mar 2005
Ort: Berlin
Beiträge: 9.471
onemorenerd wird schon bald berühmt werdenonemorenerd wird schon bald berühmt werden
Standard

Das hilft doch alles nicht bzw. nicht zuverlässig. Sessions sind aber auch ohne zusätzliche Maßnahmen schon sehr sicher. Es gibt so viele mögliche SIDs und so wenige in Gebrauch, dass man eher im Lotto gewinnt, als eine gültige SID zu erraten. Die üblichen Dinge wie "keine SIDs in URLs", ID-Regenerierung und zeitnaher Verfall des Session-Cookies bieten i.d.R. ausreichend Schutz vor einer Übernahme.
Besonders kritische Aktionen in einer Applikation, z.B. Checkout eines Warenkorbs, sollte man lieber mit erneuter Passwortabfrage absichern. Damit identifiziert man den Menschen und nicht das Gerät - darauf kommt es an.


PS: Ich hoffe es merkt keiner, dass ich nur die letzten 5 Beiträge dieses Threads gelesen habe.
Mit Zitat antworten
  #12 (permalink)  
Alt 07-01-2010, 18:17
AmicaNoctis
  Moderatorin
Links : Onlinestatus : AmicaNoctis ist offline
Registriert seit: Jul 2009
Beiträge: 5.709
Blog-Einträge: 9
AmicaNoctis sorgt für eine eindrucksvolle AtmosphäreAmicaNoctis sorgt für eine eindrucksvolle Atmosphäre
Standard

Ist das nicht alles etwas kompliziert gedacht, nur um zu verhindern, dass jemand etwas anderes als "asc" oder "desc" verwendet?

Ich würde einfach davon ausgehen, dass erstmal immer "asc" gemeint ist. Nur wenn
PHP-Code:
isset($_GET["by"]) && strtolower($_GET["by"]) == "desc" 
erfüllt ist, wird auf "desc" umgestellt. Wenn jemand nichts oder was anderes angibt, bleibt es halt bei "asc".

Falls man es doch kompliziert machen möchte, habe ich auch noch was anzubieten: Digest HTTP Authentication.

Gruß,

Amica
__________________
Hast du die Grundlagen zur Fehlersuche gelesen? Hast du Code-Tags benutzt?
Hast du als URL oder Domain-Beispiele example.com, example.net oder example.org benutzt?
Super, danke!
Mit Zitat antworten
  #13 (permalink)  
Alt 07-01-2010, 18:19
TobiaZ
  Moderator
Links : Onlinestatus : TobiaZ ist offline
Registriert seit: Jan 2001
Ort: MUC und MGL, Germany
Beiträge: 34.421
Blog-Einträge: 1
TobiaZ befindet sich auf einem aufstrebenden Ast
Standard

Zitat:
PS: Ich hoffe es merkt keiner, dass ich nur die letzten 5 Beiträge dieses Threads gelesen habe.
Nö, rossixx hat ja auch die Hälfte meiner Fragen ignoriert.
__________________
ERST LESEN: Unsere Regeln. | Ich hab schon Pferde kotzen sehn!

READ THIS: Strings richtig trennen/verbinden | JOINs, das leidige Thema | Wegwerf E-Mail Adressen

Ich werde keinen privaten 1:1 Support leisten, außer ich biete ihn ausdrücklich an.

Wenn man sich selbst als "Noob" bezeichnet, sollte man die Finger davon lassen.
Wenn man gewillt ist daran etwas zu ändern, lernt man Grundlagen!
Mit Zitat antworten
  #14 (permalink)  
Alt 08-01-2010, 11:39
rossixx
 Registrierter Benutzer
Links : Onlinestatus : rossixx ist offline
Registriert seit: Jul 2003
Ort: Berlin
Beiträge: 514
Blog-Einträge: 2
rossixx wird schon bald berühmt werden
Standard

und ich wollte nur mit meinem beitrag dazu beitragen, das der jenige themenstarter sich grundsätzlich gedanken macht zum thema sicherheit.

welche mittel er einsetzt liegt dann an seiner einschätzung, was er denk zu brauchen.

und alle fragen beantworten?!? is halt ne zeitfrage.
Mit Zitat antworten
  #15 (permalink)  
Alt 08-01-2010, 11:43
Kangarooo
 Registrierter Benutzer
Links : Onlinestatus : Kangarooo ist offline
Registriert seit: Nov 2009
Beiträge: 225
Kangarooo kann nur auf Besserung hoffen
Standard

Also ich habe jetzt ja einige Sachen gehört..ich werde mich mal drüber erkundigen, danke!
Somit können wir den "Streit" hier beenden :-)
Mit Zitat antworten
Antwort

Lesezeichen


Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)
 

Ähnliche Themen
Thema Autor Forum Antworten Letzter Beitrag
Grafiken schützen devas PHP Developer Forum 8 26-11-2006 20:03
PDF-Files schützen vindiesel PHP Developer Forum 20 29-06-2005 18:26
URL schützen! 123 PHP Developer Forum 16 09-04-2005 21:19
DB schützen Pullwitt SQL / Datenbanken 1 17-02-2003 13:13
Webspace schützen Coragon Rivito IT-Security 3 07-01-2003 21:10

Themen-Optionen
Thema bewerten
Thema bewerten:

Forumregeln
Es ist Ihnen nicht erlaubt, neue Themen zu verfassen.
Es ist Ihnen nicht erlaubt, auf Beiträge zu antworten.
Es ist Ihnen nicht erlaubt, Anhänge hochzuladen.
Es ist Ihnen nicht erlaubt, Ihre Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are an


PHP News

ebiz-trader 7.5.0 mit PHP7 Unterstützung veröffentlicht
ebiz-trader 7.5.0 mit PHP7 Unterstützung veröffentlichtDie bekannte Marktplatzsoftware ebiz-trader ist in der Version 7.5.0 veröffentlicht worden.

28.05.2018 | Berni

Wissensbestand in Unternehmen
Wissensbestand in UnternehmenLebenslanges Lernen und Weiterbilden sichert Wissensbestand in Unternehmen

25.05.2018 | Berni


 

Aktuelle PHP Scripte

ADSMAN V3 - Werbe-Manager ansehen ADSMAN V3 - Werbe-Manager

ADSMAN V3 - mehr als nur ein Bannermanager! Banner, Textanzeigen und PagePeel Manager! Mit ADSMAN PRO haben Sie die Marketinglösung für eine effektive und effiziente Werbeschaltung mit messbaren Ergebnissen. Unterstützt werden Bannerformate in beliebi

25.10.2018 virtualsystem | Kategorie: PHP/ Bannerverwaltung
PHP News und Artikel Script V2

News schreiben, verwalten, veröffentlichen. Dies ist jetzt mit dem neuen PHP News & Artikel System von virtualsystem.de noch einfacher. Die integrierte Multi-User-Funktion und der WYSIWYG-Editor (MS-Office ähnliche Bedienung) ermöglichen...

25.10.2018 virtualsystem | Kategorie: PHP/ News
Top-Side Guestbook

Gästebuch auf Textbasis (kein MySQL nötig) mit Smilies, Ip Sperre (Zeit selbst einstellbar), Spamschutz, Captcha (Code-Eingabe), BB-Code, Hitcounter, Löschfunktion, Editierfunktion, Kommentarfunktion, Kürzung langer Wörter, Seiten- bzw. Blätterfunktion, V

22.10.2018 webmaster10 | Kategorie: PHP/ Gaestebuch
 Alle PHP Scripte anzeigen

Alle Zeitangaben in WEZ +2. Es ist jetzt 22:16 Uhr.