Sichere Programmierung
lima-city → Forum → Programmiersprachen → PHP, MySQL & .htaccess
action
break
datei
daten
eingeben
eins
favorit
kacken
kommentar
leichte einstieg
log
nutz
pa
pfad
platzhalter
punkten
script
tutorial
unterseite
vertrauen
-
Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!
lima-city: Gratis werbefreier Webspace für deine eigene Homepage
-
was verstehst du unter "sicher" ?
-
Naja, ich glaube zum sicheren Programmieren gibt es gar keine Tutorials, denn das ?ndert sich je nachdem, was du programmieren willst.
Ich kann dir nur raten: nutze sessions mit cookies f?r seiten mit loginbereich, ich kenne jemanden, der hatte nur eine Art frameeinbindung gemacht, und man konnte danach die ganzen Unterseiten besuchen.
-AlienDwarf -
Ich dachte so mehr an grundliegende dinge, wie das ?berpr?fen von Eingaben in Userfelder, oder bei der ?bertragung von Daten zur MySQL-Datenbank usw.
-
Nicht schon wieder. K?nnte man das bitte auch l?schen und die Punkte daf?r abziehen. Danke.
-
Wenn du es von grund auf lernen willst dann besorg dir am besten ein gescheites Buch die giebt es ab 10?.
Aber lass dir auch da Tipps geben ich habe zB 3 st?ck:
PHP Der leichte Einstieg von Christine Peyton (hier wird zwar alles gut erkl?rt aber die Beispiel Scripts funzen net) 10?
Eins von Bhv wei aber jetzt net genau wie das heist weil ich es gerdade net da hab (da ist noch ausf?hlicher erkl?rt aber keine bsb scripts) 14?
Und dann noch eins von der Volks Hoch Schule(VHS) das ist richtig gut kostet aber auch 45? -
tipp von mir:
galileo-computing
gibs einfach in google ein und dann openbook php4 und mysql -
also wozu b?cher w?lzen?
er will doch sicher proggen
also
alle sachen die der benutzer eingeben kann pr?fen!
also $_SESSSION (kann man manchmal mit anderen werten f?llen, als es der progger gedacht hat), $_COOKIE, $_GET und $_POST
dann solltest du ne log datei f?hren, dazu darfst du mal den alopex fragen ;)
vor jedem mysql query solltest du mysql_escape_string verwenden, halt f?r die eintr?ge, die vom user kommen
dann solltest du versuchen keine einfachen if abfragen zu machen, sondern noch mit nem else hintendran
z.b. nicht
if($pass == $_GET["pass"]) {
$eingeloggt = "true";
}
denn da kann man einfach bla.php?eingeloggt=true eingeben und man is eingeloggt
also so
if($pass == $_GET["pass"]) {
$eingeloggt = "true";
} else {
$eingeloggt = "false";
}
dann die "ber?hmte" include kacke ;)
include("".$_GET["action"].".php");
pfui
wenn dann
include(".".$_GET["action"].".php");
o.?.
jedenfalls keine releativen pfade verwenden!
oder man machts mit ner switch abfrage
switch("$_GET["action"]) {
case bla:
//lalal
break;
}
und die beste regel,
niemals einen user vertrauen, das er das eingibt, was man erwartet, also auch bei ner sql abfrage pr?fen, ob z.b. die ?bergebene id auch wirklich ne zahl is keine % oder # enth?lt, wobei das bei der ?berpr?fung einer zahl wegf?llt
% is ein platzhalter
# steht f?r kommentare in sql
$query = mysql_query("SELECT * FROM ?bla? WHERE user = '".$user." AND pass = '".$pass."'");
angenommen man gibt f?r user
Admin'# ein, dann steht da
$query = mysql_query("SELECT * FROM ?bla? WHERE user = 'Admin'#" AND pass = ''");
da # ein kommentar is wird nich noch pass abgefragt
so das reicht ;) -
Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!
lima-city: Gratis werbefreier Webspace für deine eigene Homepage