ERLEDIGT
NEIN
NEIN
ANTWORTEN
4
4
ZUGRIFFE
830
830
EMPFEHLEN
-
Hiho zusammen,
ich bastle seid einiger Zeit an einer Community Seite. Da sich dort also "unbekannte" Leute anmelden, und die Seite benutzen sollen, kann ich auch nicht ausschliessen, dass mal jemand boeswillig etwas kaputtmachen will.
Deswegen meine Frage, welche Bereiche man überdenken sollte, um eine Seite einigermaßen sicher zu machen.
Konkretes Problem:
z.B. haben die user dort natuerlich ein Profil usw, wo Daten von jedem Benutzer einzutragen sind. Wie verhinder ich, dass statt dem dafür vorgesehenen Text irgendwelcher Code eingefügt wird? usw.. usw..
Ich weiss, dass das evtl erwas allgemein gesprochen ist, aber
könnt ihr mir da ein paar Denkanstösse geben?
Dankeschoen.
Gruß
FrankNürnberg ist die geheime Welthaupstadt der Musik, das weiss nur noch keiner :-)
-
Code einfügen ? Meinst du HTML ?
strip_tags()
htmlspecialchars()
-
Vieleicht redet er auch von SQL-Injections?
Meines Wissens nach geht dies grade mit PHP nicht wenn man die Funktion mysql_query() benutz, da diese immer nur EINEN Query ausführen kann, lieg ich da richtig?
-
Eigentlich wurde von meinen Vorrednern dazu schon das Nötigste gesagt. Du solltest also auf jeden Fall ALLE eingehenden Daten (ob POST, GET usw. ist egal) prüfen, ob sie denn auch wirklich die Werte besitzen, die du erhalten möchtest.
Das bedeutet, dass du sowohl HTML-Tags, als auch JavaScript-Passagen unschädlich machst und zudem Variablen von "außen" auf ihren Variablentyp überprüfst, also Werte, die z.B. als Ganzzahl ankommen sollen, mit intval() checkst usw.
Bzgl. SQL-Injections wäre die Funktion mysql_escape_string() sinnvoll (auch wenn es stimmt, Lars, dass mysql_query() nur ein Query ausführen kann).
Des WEiteren könntest du dich über Google nochmal schlau machen über die angesprochene Gefahr von SQL-Injections und das Problem "Cross Scripting"."... the KKK took my baby away ..."
-
Einiges wurde schon gesagt aber ich denke es fehlen noch paar Schlagworte, die auf jeden Fall wichtig sind. Meiner Meinung nach sollte man folgende Sachen beachten:
- Validation der Eingaben
- Schutz vor SQL Injections
- Schutz vor Crossite Scripting
- Schutz vor Include Exploids
- Schutz des Logins vor Brute Force Angriffen
- robots.txt für Bots
- .htaccess Verzeichnisschutz, sperren bestimmter Verzeichnisse
mfgGeändert von Zack (28.04.11 um 13:30 Uhr)
Und was lernen wir darauf? Es niemals versuchen! (Homer Jay Simpson)
127.0.0.1 Home! Sweet Home!
Ich würde mich über eine Bewertung meiner Beiträge freuen!
Zitieren
Ähnliche Themen
-
Sicherheit im Web 2.0
Von Freak im Forum SmalltalkAntworten: 0Letzter Beitrag: 24.03.09, 16:28 -
Sicherheit?
Von hhunderter im Forum PHPAntworten: 2Letzter Beitrag: 10.01.09, 03:03 -
Sicherheit
Von NCortex im Forum PHPAntworten: 5Letzter Beitrag: 08.08.07, 12:32 -
Sicherheit?
Von Prophet05 im Forum PHPAntworten: 15Letzter Beitrag: 27.03.05, 01:10 -
sicherheit
Von polar im Forum PHPAntworten: 1Letzter Beitrag: 01.11.02, 02:29
Login
[PHP][Snippet] Array zu XML konvertieren