Eines vorweg. Ich will keine Gästebücher hacken. Ich bin dabei eines zu schreiben und wenn man weiss, wo die Gefahren liegen, kann man diese umgehen. Also bitte dieses Thread nicht Closen.



Also nun zur Frage.

• Wo sind die Sicherheitslücken bei Gästebuch oder Shotbox.
• Was muss ich beim Programmieren beachten.

Kann ich also eine Datein Includen, die in einem .htaccses (habs sicher falsch geschrieben) geschützen Ordner liegt?

Also ../content würde ich schützen , aber die datein aus dem ordner in ../index.php includen. Das würde gehen?

hi,

also strip_tags($variable); entfernt die html-tags. wenn diese angabe fehlt wäre es möglich, die seite/gb zu manipulieren. da javascripte via "sandboxen" im html-code eingebetten werden, bestände da noch ein viel grössere gefahr! wie und in welchem umfang da nun eine manipulation möglich ist, weiss ich auch nicht! mit php könnte man dann alle verzeichnisse auslesen und löschen - glaub ich!

wenn du zusätzlich ein login mit php hast und nicht addslashes(); eingebunden hast, reicht als anmeldung %% und schwupps wäre man drin - auch hier meine ich es, bin mir aber nicht 100%ig sicher...

ich meinte es ein wenig anders: das textfeld für den gb-eintrag enthält z.b. die var. $text! wenn die eingetragenen werte nun in die db eingetragen werden und vorher nicht strip_tags(); greift und evtl. html-tags in die $text geschrieben worden sind, werden die auch beim auslesen berücksichtigt. was nun wenn ich ins formular das eingebe:

<b style="font-size: 500px;">Hallo</b>

****?

das wird das auch so ausgelesen... und jetzt ginge das auch mit php, js, etc.

- PHP Code wird normalerweise nur bei Verwendung von eval() ausgeführt...
- Die eingegeben Daten des Users sollten verifiziert werden, vor allem sollte $_POST etc. statt einfach $name verwenden...
- Sessions sollten für´n Login verwendet werden...es ist sinnvoll die Sessions an ´ne IP zu binden..
- HTML und JavaScipt sollten nicht zugelassen werden...man sollte desweiteren darauf achten das bei evtl. Image Codes (wie hier im Forum [ IMG ]) als URL kein "javascript: " eingegeben werden kann...


... so..und dann kommt´s halt drauf an was dein GB für Funktionen hat...

thally und schnueptus, lest ihr euch beide bitte die Netiquette ( Punkt 12 ) durch. Danke.

Um auf meine Frage zurück zukommen.

Ich hab gedacht das man einen Code eingeben kann, mit dem er den Code schießt, dann seinen Code eingibt und so evtl an meine MySQL Daten zu kommen. Daran hab ich gedacht. Ist das nicht möglich?

Du solltest auf jeden Fall darauf achten, dass du die zulässige Postmenge begrenzt. Also z.B. nur Text < 2048 Zeichen annimmst. Und dann kannst du noch so Sachen wie IP/Zeitsperre oder Bildercodesperren einbauen, damit du nicht gefloodet wirst. Schau mal in den Tutorial Bereich, da gibt es zwei Tutorials zu diesem Thema von mir.

Hallo,

sorry erstmal für dieses ständige kleinschreiben. Ich werde mich bessern.

Aber Back-To-Basic:

Ich hab' unter SelfPHP im Forum was dazu gefunden. Vielleicht hilft es weiter:

http://selfforum.teamone.de/archiv/2002/4/8567/
http://de.php.net/manual/de/security....sql-injection