So weit ich weiß, gibt es auf Websites, die Benutzereingaben mit PHP und MySQL verarbeiten, im Wesentlichen zwei Sicherheitslücken: HTML- und MySQL-Injection. Diese lassen sich ja schnell mit Funktionen wie htmlspecialchars oder mysql_real_escape_string schließen, wieso gibt es also auch auf populären Websites oder auch in Wordpress und co. immer wieder Sicherheitslücken? Da sind ja Profis am Werk, die wohl kaum so doof sein werden, diese grundlegenden Sicherheitslücken offen zu lassen. Gibt es also noch weitergehende Sicherheitslücken, auf die ich beim Programmieren meiner Website beachten muss?

Guten Morgen,

XSS ist immer wieder ein Problem. Und heißt nicht MySQL- sondern nur SQL-Injektion. Ob da HTML injektioniert, JavaScript oder SQL selbst ist dabei egal. Und nein, es ist nicht "nur" mit mysql_real_escape_string() getan.

Mit dem Thema Sicherheit kann man ein ganzes Buch füllen, was auch von Stefan Esser gemacht wurde. Leider habe ich keine Ausgabe zum Kaufen gefunden. Bei Amazon ist es noch gelistet aber derzeit nicht lieferbar: http://www.amazon.de/PHP-Sicherheit-...7630820&sr=8-1

Vielleicht findest du irgendwo im Web noch ein Exemplar.

Danke für die rasche Antwort!
Hat denn jemand vielleicht einen Tipp oder Link, was das konkret für die alltägliche Programmierarbeit heißt? Denn bei den Beispielen auf Wikipedia für XSS hätten es die beiden Funktionen soweit ich weiß schon gebracht

Wenn die beiden Funktionen ausreichen würden, würde es sowas wie HTMLPurifier nicht geben, meinst du nicht?

Da sind ja Profis am Werk, die wohl kaum so doof sein werden, diese grundlegenden Sicherheitslücken offen zu lassen

Das siehst du leider falsch.
MySQL.com Vulnerable To Blind SQL Injection Vulnerability

Gibt es also noch weitergehende Sicherheitslücken, auf die ich beim Programmieren meiner Website beachten muss

Bezieht sich zwar nicht ausschließlich auf PHP aber hier kannst du dir mal einen groben Überblick beschaffen:
OWASP Top 10 2010
2011 CWE/SANS Top 25 Most Dangerous Software Errors

Hier noch ein Link zu einem sehr nützlichen Projekt das einem hier und da schonmal ein wenig Arbeit abnimmt:
PHPIDS

Das IDS kannte ich noch nicht, danke!

Wenn wir als Beipiel aber nun einmal XSS nehmen, wenn ich mittels htmlentities restriktiv alle Benutzereingaben in Entitäten umwandele, kann doch kein Javascript-Code oder ähnliches ausgeführt werden, oder? Könntet ihr mir sonst einmal ein Code-Beispiel nennen, das diese Hürde umgeht?