Session-Daten nicht auslesbar machen
lima-city → Forum → Programmiersprachen → PHP, MySQL & .htaccess
abfrage
anwendung
aufwand
auslese
beachten
bearbeiten
code
datum
frage
login
nutzen
nutzer
ordner
problem
registrieren
schau
session
sicherheit
sorgen
team
-
Sicherheit ist das Thema, mit dem ich mich in PHP leider noch am wenigsten auskenne. Ich kenne mich damit zwar einigermaßen aus, aber "einigermaßen" höhrt sich ja nich besonders vielversprechend an. Deswegen möchte ich das jetzt nachholen.
Ich habe Sorgen, dass ein Hacker die Session-Daten der momentan aktiven User aus dem Temp-Ordner des Servers (nicht Lima) auslesen könnte. Das wird ja -wie allerseits bekannt- möglich, wenn man Seiten dynamisch inlcudet, und zwar aus einer Information, die vom Seitenaufrufer, d.h. dem User, stammt. Dagegen schütze ich mich, in dem ich z.B. frage ob die GET-Variable gleich 'login' ist, und dann 'login.php' inlcude. Dann kommt die nächste Abfrage, ob die GET-Variable gleich 'registrieren' ist, dann wird die Datei 'registrieren.php' inlcuded.
Für die, die es noch nicht verstanden haben:
Ich mach das nicht so:
inlcude($_GET['var']);
Sondern so:
if($_GET['var']=='x') { inlcude('x.php'); }
Das ist ja schonmal ziehmlich sicher. Ab wie steht es um die anderen Möglichkeiten, die ein Hacker hat? Es gibt doch sicher noch mehr, dass ich bei inlcudes beachten muss, oder? -
Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!
lima-city: Gratis werbefreier Webspace für deine eigene Homepage
-
Das ist jetzt ja schon beinahe peinlich, sowas zu fragen, aber weil ich mich kaum mit Sicherheit auseiner gesetzt habe, kenne ich das nicht: Welche Möglichkeiten hat ein Hacker, die Session-Daten anderer Nutzer anzuschauen? Ganz schlimm währe es, wenn er Session-Daten bearbeiten könnte, aber wenn man sich nicht ganz blöd anstellt, dürfte das nicht möglich sein. Also geht es hauptsächlich ums Lesen.
-
Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!
lima-city: Gratis werbefreier Webspace für deine eigene Homepage
