kostenloser Webspace werbefrei: lima-city


Webseite hacksichern?!

lima-cityForumProgrammiersprachenPHP, MySQL & .htaccess

  1. Autor dieses Themas

    christian1603

    Kostenloser Webspace von christian1603

    christian1603 hat kostenlosen Webspace.

    Hallo,
    ich Habe auf meiner Seite ein Login und jeder User hat ein Profil das er auch ändern kann damit er kein php und kein html ausführen kann verwende ich das : $Vorname = htmlspecialchars(mysql_escape_string($data["Vorname"]));
    die User Daten werden in einer Mysql Datebank gespeichert (passwort natürlich verschlüsselt).
    Ich habe die SQL verbindung in einer extra datei die ich immer include(/******/sql.php) wenn ich sie brauche.
    damit ein hacker sie nicht alt zu schnell knackt habe ich einen ordner wo die sql.php datei inhalten ist und gleichzeitig noch eine .htaccess login datei.
    Fragen:
    -Sind die angegeben sicherheitsfunktionen sicher genug
    -Muss ich noch ihrent was beachten?

    LG
  2. Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!

    lima-city: Gratis werbefreier Webspace für deine eigene Homepage

  3. Den Ordner, in dem die Datei sql.php ist solltest du ganz sperren per htaccess:
    deny from all

    Außerdem solltest du noch register_globals ausschalten.

    Dann müsste das alles sicher sein.

    LG cookies
  4. Ganz sicher ist prinzipiell nichts.

    Weiß jdm. dein Passwort, kann er ja rein.
    Du kannst allerdings die Chance eines Hackangriffes reduzieren wenn du alles richtig gut absicherst.

    1. Das Verzeichnis sollte man sowieso absichern (mit htaccess z.B.)
    2. Das Passwort zum Verzeichnis kann man dann so einmal im Monat ändern.

    Es gibt immer eine Hintertür, nur lass den Schlüssel nicht stecken. :blah:
  5. Alles was du normalerweise brauchst ist Schutz vor SQL-Injections und XSS. Wenn du eval() von Nutzereingaben nutzt, muss das natürlich gesichert werden. Für exec(), system(), passthru(), usw. gilt das selbe (ich geh davon aus, dass du das alles sowieso nicht nutzt.)

    Weiterhin sollte in der config-Datei natürlich nicht das PW oder so ausgegeben werden. Wenn nichts ausgegeben wird, bringt dem Angreifer der Zugriff auf die Datei nichts. Und wenn der Angreifer an dein FTP ran kommt, dann ist sowieso nichts mehr mit sicher.

    Weiterhin solltest du darauf achten, dass du bei den objektorientierten MySQL-Klassen (PDO) beim Erstellen des Objekts Exceptions abfängst (try/catch), da sonst eventuell dein PW, usw. ausgegeben wird.
  6. Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!

    lima-city: Gratis werbefreier Webspace für deine eigene Homepage

Dir gefällt dieses Thema?

Über lima-city

Login zum Webhosting ohne Werbung!