Login sicher machen
lima-city → Forum → Programmiersprachen → PHP, MySQL & .htaccess
abfangen
abgetrennten bereich
angemeldete benutzer
anweisung
ausgabe
ergreifen
halten
hilfe
http
manual
niemand
sprache
statement
string
url
zeichen
zeichenkette
-
Hallo liebe Community,
Ich habe vor, bei meiner Website einen abgetrennten Bereich nur für angemeldete Benutzer mittels PHP einzurichten. Welche Sicherheitsmaßnahmen muss ich ergreifen um die Angriffsmöglichkeiten (SQL Injection) dabei möglichst gering zu halten?
Vielen Dank für eure Hilfe!!! -
Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!
lima-city: Gratis werbefreier Webspace für deine eigene Homepage
-
wenns dir um SQL-Injection geht dann benutze am besten sqli mit prepared statements...
(aber denke auch an z.b. xss wenns um die sicheheit geht) -
Wie kann ich denn xss unterbinden?
-
nunja, am besten du achtest IMMER PENIBEL darauf das sämtliche ausgaben deren werte irgendwie von außen kommen (z.B. $_GET und $_POST COOKIE etc.) auf böse zeichen überprüft werden so das zb keine script anweisungen reingehackt werden können (siehe htmlspecialchars)
Beitrag zuletzt geändert: 22.2.2013 10:33:12 von hcms -
realsocialnews schrieb:
Zeichen oder Wörter aus der SQL Sprache mit str_replace rausfiltern, unterdrücken mit was auch immer(sehr unsicher) oder mit if abfangen.
Das hört sich aber sehr umständlich an.
Gibt es denn keine möglichkeit alle zeichen zu escapen? oder ist das bei htmlspecialchars bereits der fall? -
Das hört sich aber sehr umständlich an.
Gibt es denn keine möglichkeit alle zeichen zu escapen? oder ist das bei htmlspecialchars bereits der fall?
ehhhhm.. ja.
http://php.net/manual/de/function.htmlspecialchars.php
am häufigsten wird bei cross-site-scripting versucht die zeichenkette "<script>" irgendwie reinzujubeln... und da bietet es sich an die "<" und ">" zu maskieren (bzw in entities umzuwandeln), was htmlspecialchars ja unter anderem auch tut...
Beitrag zuletzt geändert: 22.2.2013 13:38:37 von hcms -
Hallo
htmlspecialchars + http://php.net/manual/de/function.mysql-real-escape-string.php
Wundert mich jetzt, dass noch niemand mysql real escape string erwähnt hat.
mfg -
Wundert mich jetzt, dass noch niemand mysql real escape string erwähnt hat.
nun bei prepared statements in sqli wärs überflüssig... -
Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!
lima-city: Gratis werbefreier Webspace für deine eigene Homepage