kostenloser Webspace werbefrei: lima-city


Login sicher machen

lima-cityForumProgrammiersprachenPHP, MySQL & .htaccess

  1. Autor dieses Themas

    mvielberth

    mvielberth hat kostenlosen Webspace.

    Hallo liebe Community,

    Ich habe vor, bei meiner Website einen abgetrennten Bereich nur für angemeldete Benutzer mittels PHP einzurichten. Welche Sicherheitsmaßnahmen muss ich ergreifen um die Angriffsmöglichkeiten (SQL Injection) dabei möglichst gering zu halten?
    Vielen Dank für eure Hilfe!!!
  2. Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!

    lima-city: Gratis werbefreier Webspace für deine eigene Homepage

  3. h**s

    wenns dir um SQL-Injection geht dann benutze am besten sqli mit prepared statements...

    (aber denke auch an z.b. xss wenns um die sicheheit geht)
  4. Autor dieses Themas

    mvielberth

    mvielberth hat kostenlosen Webspace.

    Wie kann ich denn xss unterbinden?
  5. h**s

    nunja, am besten du achtest IMMER PENIBEL darauf das sämtliche ausgaben deren werte irgendwie von außen kommen (z.B. $_GET und $_POST COOKIE etc.) auf böse zeichen überprüft werden so das zb keine script anweisungen reingehackt werden können (siehe htmlspecialchars)

    Beitrag zuletzt geändert: 22.2.2013 10:33:12 von hcms
  6. realsocialnews

    realsocialnews hat kostenlosen Webspace.

    Zeichen oder Wörter aus der SQL Sprache mit str_replace rausfiltern, unterdrücken mit was auch immer(sehr unsicher) oder mit if abfangen.
  7. Autor dieses Themas

    mvielberth

    mvielberth hat kostenlosen Webspace.

    realsocialnews schrieb:
    Zeichen oder Wörter aus der SQL Sprache mit str_replace rausfiltern, unterdrücken mit was auch immer(sehr unsicher) oder mit if abfangen.

    Das hört sich aber sehr umständlich an.
    Gibt es denn keine möglichkeit alle zeichen zu escapen? oder ist das bei htmlspecialchars bereits der fall?
  8. h**s

    Das hört sich aber sehr umständlich an.
    Gibt es denn keine möglichkeit alle zeichen zu escapen? oder ist das bei htmlspecialchars bereits der fall?

    ehhhhm.. ja.
    http://php.net/manual/de/function.htmlspecialchars.php

    am häufigsten wird bei cross-site-scripting versucht die zeichenkette "<script>" irgendwie reinzujubeln... und da bietet es sich an die "<" und ">" zu maskieren (bzw in entities umzuwandeln), was htmlspecialchars ja unter anderem auch tut...

    Beitrag zuletzt geändert: 22.2.2013 13:38:37 von hcms
  9. Hallo :wave:

    htmlspecialchars + http://php.net/manual/de/function.mysql-real-escape-string.php

    Wundert mich jetzt, dass noch niemand mysql real escape string erwähnt hat. :wow:

    mfg :wave:
  10. h**s

    Wundert mich jetzt, dass noch niemand mysql real escape string erwähnt hat.


    nun bei prepared statements in sqli wärs überflüssig...
  11. Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!

    lima-city: Gratis werbefreier Webspace für deine eigene Homepage

Dir gefällt dieses Thema?

Über lima-city

Login zum Webhosting ohne Werbung!