PHP Security

Einklappen
X
 
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

  • PHP Security

    Hallo

    kann mir jemand ein gutes Buch zu Security bei dynam. Sites empfehlen?


    LG
    Clemens

  • #2
    OT: *VERSCHIEB*

    Kommentar


    • #3
      und? Empfehlung gibts keine vom Admin?

      Kommentar


      • #4
        tobiaz is mod, kein Admin

        Für Security mit PHP brauchst du kein Buch! du muß nur ein paar dinge beachten:
        - Herkunft von Variablen (nimm superglobals: $_POST['var'], etc...)
        - beim dynamischen include (include("$var") pass auf, dass keine Konstrukte dieser Art ausgeführt werden /etc/hosts und ähnliche
        - filter php-befehle aus den Usereingaben

        und noch ein paar andere Sachen, darauf kommst du aber beim programmieren...

        Prinzipiell gilt: traue keinen Variablen, die nicht innerhalb deines Skriptes die Werte zugewiesen bekommen haben!

        gruss

        Kommentar


        • #5
          Das Thema sollte vielleicht eher ins Forum Websecurity und nicht ins Off-Topic.
          [color="#334D7B"]"Los, lass uns loslegen! Hm ? Quatschen können wir hinterher immer noch!"[/color]
          [color="#9C5245"]"Aber Bommel, wir können jetzt nicht bumsen. Wir müssen doch erst den Kindern - ... "[/color]
          [color="#334D7B"]"Ja ja ja. Du willst immer nur das Eine. Buchstabenzeigen, Buchstabenzeigen - meine Gefühle sind dir wohl scheißegal."[/color]

          © Harald Schmidt

          Kommentar


          • #6
            *VERSCHIEB*

            Kommentar


            • #7
              - filter php-befehle aus den Usereingaben

              was heisst das?


              eine andere Frage:

              was ist mit der Datei config.php oder .inc.

              ist die nicht ein Sicherheitsrisiko? Da stehen ja alle Zugangsdaten zu den Servern drinnen.

              Kommentar


              • #8
                1.) Usereingaben immer durch addslashes() laufen lassen
                2.) config.php ist kein Problem. Bei Anfängern wird oft config.inc verwendet. *.inc wird aber nicht geparst, daher können diese Dateien im Browser angezeigt werden.

                Kommentar


                • #9
                  ad 1.) und wie mache ich dass dann?:


                  insert into test (test,test2,test3) values(addslashes("test)....

                  und durch diese Maßnahme verhindere bzw mindere ich die Chancen auf Mißbrauch?

                  Kommentar


                  • #10
                    RTFM!

                    Kommentar


                    • #11
                      hä?

                      ok ok ich such mal

                      Kommentar


                      • #12

                        Kommentar


                        • #13

                          ok es geht schon

                          habs so gelöst:
                          PHP-Code:
                          $email0 addslashes($email); 
                          aber zu meiner Frage: was bringt sich da genau?

                          Kommentar


                          • #14
                            das sorgt dafuer, dasss dir keiner fiesen code unterschieben kann ...
                            bei addslashes werdebn vor
                            einfachen anführungszeichen
                            doppelten anführungszeichen
                            backslah
                            und NUL

                            ein baclkslash vorgestellt ....

                            man koennte sonst eventuell dafuer sorgen das variablen oder code im browser ausgegeben werden (und das kann unter umstaenden ganz unangenehm sein )

                            Kommentar

                            Lädt...
                            X