Sicherheit in PHP....wie?
lima-city → Forum → Programmiersprachen → PHP, MySQL & .htaccess
auen
beitrag
dazugehrigen daten
eingabe
fremdes banner
funktion
generell eingaben
information
injektion
militr
mglichkeit
nutzer
script
session
standard
smtliche eingaben
tag
vergleichen
versehen
versuchen
-
Hallo erstmal...
Ich bin zurzeit dabei ein paar PHP-Skripte zu entwickeln,
jedoch weiß ich nicht wie man sicher codet...damit meine ich,
das mann sie nicht hacken kann...zumindest nicht leicht xD
Bisher ging des bei mir nur so,
das ich sämtliche tag/eingabe">Eingaben, die ein User machen kann, einfach überprüft habe auf HTML oder bestimmte Zeichen.
Zudem versuche ich auch möglichst viel mit Post oder Sessions zu übergeben anstatt cookies oder der Get möglichkeit.
Aber das kann es ja noch nit sein oder?
Beitrag geändert: 23.7.2007 1:51:26 von garlian -
Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!
lima-city: Gratis werbefreier Webspace für deine eigene Homepage
-
Sessions und sicher? Aber nur, wenn du die dazugehörigen Daten nicht in Cookies abspeicherst (was zumindest hier der Standard ist).
Dass du html und script tags deaktivierst ist schonmal gut. Du musst halt zusätzlich noch vorsichtig sein, wenn du was fremdes (Banner oder dergleichen) auf deiner Seite einbinden willst.
Außerdem solltest du generell Eingaben der Nutzer, die in die Datenbank in irgendeiner Weise eingetragen werden (oder z.B. für einen Vergleich genutzt werden), überprüfen, bzw. bestimmte Zeichen darin entschärfen, da ansonsten jemand eine sogenannte SQL-Injektion vornehmen kann (http://de.wikipedia.org/wiki/SQL-Injektion). -
Vertraue einfach keiner Eingabe von außen.
Und überprüfe, was passiert, wenn Eingaben übergeben werden, die du nicht erwartest hattest. -
Die erste und wichtigste Grundregel:
Nichts ist unknackbar. Wenns nicht geknackt werden soll, lass es!
Die zweite:
Wenn dus doch tust, läuft es nicht drrauf hinaus, es unknackbar zu machen, sondern so weit zu erschweren, dass sich die aufgewendee Zeit nicht mehr lohnt.
So hälts sogar das Militär.
Soweit so gut.
Arbeitest du mit MySQL? benutzt du die Equal funktion?
Sogesehen hat man ein wenig wenig Informationen um dir wirklich sagen zu können was du machen solltest um die Scripte sicher zu kriegen! -
Ich benutze MySQL, ohne wäre ich aufgeschmissen xD
Die equal funktion nutze ich eher selten.
MySQL Injection scheint, zumindest nicht zu leicht, ausfürhbar zu sein.(Relevantes wird mit nem Backslash versehen)
-
Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!
lima-city: Gratis werbefreier Webspace für deine eigene Homepage