kostenloser Webspace werbefrei: lima-city


code-injection; was genau ist das und was mache ich dagegen

lima-cityForumProgrammiersprachenPHP, MySQL & .htaccess

  1. Autor dieses Themas

    moglie

    moglie hat kostenlosen Webspace.

    Ich habe vor kurzem gelesen, dass man bei schlecht programmierten PHP-Skripten ganz einfach eigenen Code einschleusen kann. (also z.B. bei G?steb?chern) Nun will ich ja keinen Schaden anrichten und frage daher, wie das geht und was ich als Progger beachten muss, damit meine Skripte dagegen sicher sind.
  2. Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!

    lima-city: Gratis werbefreier Webspace für deine eigene Homepage

  3. theuntouchables

    theuntouchables hat kostenlosen Webspace.

    In gesteb?chern, foren und ?nlichen sachen bei denen der user was eingeben kann, besteht die gefahr, das man es so programmiert, das der benutzer seinen eigenen php code eingeben kann, dieser dann auch als php datei ausgegeben wird und man dann mit php rummspielen kann...
    ich hoffe ihr habt das jetzt verstanden, wenn nicht muss ich samstag morgens dochnochmal mein hirn anstrengen... :biggrin:
  4. Autor dieses Themas

    moglie

    moglie hat kostenlosen Webspace.

    tut mir leid. ich habs nicht verstanden. vielleicht k?nntest du mal an einem Codebeispiel erkl?ren, was du meinst.
  5. theuntouchables

    theuntouchables hat kostenlosen Webspace.

    Als ein beispiel:

    Nemen wir an du schreibst ein G?stebuch, die eingetragenen sachen werden in einzellnen dateien gespeichert und diese dateien haben die endung *.php
    So nun werden bei den ausgaben die dateinen per include(); wieder eingef?gt das man sie sehen kann.
    Jemand der jetzt schlau ist schreib in die eingebe eine normalen php code, der wird in einer php datei gespeichert und wenn jemand das G?stebuck abruft wird die datei durch den parser geschickt. in die datei k?nnten jetzt verschiedenen sachen reingeschrieben werden, mit denen man deinen accoutn verwalten/zerst?ren k?nnte...
    Das w?re ein schlecht geproggtest guestbook. ein schlauer progger schpeichert das ganze als *.txt *.dat oder sonstwas, damit es nicht durch den parser geschickt wird und man nichts zerst?ren kann...

    verstanden???
    ich hoffe schon, denn so langsman gehen auch mir die erkl?rungen aus...
  6. Dann versuch ichs auch mal: Bei jeder Eingabe kann man ja auch einen einfach Code eingeben, z.B. ein Javascript wie <script language="JavaScript">window.document.location.href="http://www.lima-city.de";</script> Somit w?rden nun alle Besucher auf diese URL geleitet werden, wenn die Seite geladfen wird und der Codfe damit ausgef?hrt. Als Programmierer muss man das nun also verhindern, indem man daf?r vorgesehene Funktionen nutzt (z.b. htmlentities() ).
  7. Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!

    lima-city: Gratis werbefreier Webspace für deine eigene Homepage

Dir gefällt dieses Thema?

Über lima-city

Login zum Webhosting ohne Werbung!