Navigation, Sicherheit, Formulare u.a. [Suche Lösung]
Hallo,
ich möchte euch um euren Rat bezüglich der Verbesserung meiner Seite befragen, insbesondere zum Thema Sicherheit.
Im Moment sieht es eigentlich so aus, dass ich meine Seite mit PHP / MySQL nutze. Die Links übergebe ich via
Auf jeder Seite überprüfe ich dann die Variable Section, indem ich prüfe ob Sie gesetzt ist und include dann mit einem switch -> case. Somit unterbinde ich auch das includen von Dateien die unerwünscht oder außerhalb meines Servers liegen. Weiterhin checke ich ob die Datei direkt aufgerufen wird oder nicht und unterbinde einen Direktaufruf. Die Dateien liegen innerhalb eines geschützten htaccess Ordners inklusiver der Configdatei.
Ist alles soweit so gut. Nur ich würde gerne die Übergabe von Variablen per URL unterbinden. Wie kann ich das am besten anstellen? In Formularen sicher mit hidden inputfeldern. Aber was mache ich bei normalen Links? Sprich zum Beispiel in einem Forum. Ich brauche die ID des Beitrages und die Page z. B. wenn es über 100 Beiträge gibt. Ich kontrolliere solche Variablen derzeit mit
Aber das ist sicher keine tolle Lösung auf Dauer. Zumal Links wie
total e aussehen. Das Überprüfen ist nicht weiter schlimm. Kann ja künftig im Script bestehen bleiben. Aber ich denke ohne die Aussage der Variablen, reduziert sich auch gleichzeitig die Angriffsbreite auf die Seite.
Wie kann ich das ganze am besten umgehen? Sessions? Wenn ja wie sähe das Scripttechnisch aus? Oder vielleicht gibt es auch eine andere Variante? Ich selbst dachte es wäre vielleicht sinnvoll die Navigation über Pseudodateien zu lösen. Sprich ich verlinke auf eine Seite sagen wir Thema.html. Das System soll diese Datei aber in der index.php ausführen und dem User vorspielen er nutzt gerade die Thema.html Datei.
Ist sowas möglich? Wenn ja wie? Ist es sicherer?
Dann würde ich gerne noch wissen, was genau der Unterschied zwischen $POST und $GET ist und welche Variante für Formularauswertungen besser geeignet ist?
Zu guter Letzt würde mich noch interessieren, ob es möglich ist, Dateien aus dem Upload eines Benutzers auf Viren zu überprüfen?
Ich hoffe ich habe mich bei meinen Fragestellungen klar und deutlich ausgedrückt.
Ich danke euch für die Mühe und Zeit im Voraus.
Gruß Ronny
Hallo,
ich möchte euch um euren Rat bezüglich der Verbesserung meiner Seite befragen, insbesondere zum Thema Sicherheit.
Im Moment sieht es eigentlich so aus, dass ich meine Seite mit PHP / MySQL nutze. Die Links übergebe ich via
PHP:
<a href='index.php?section=Thema'>Linkname</a>
Auf jeder Seite überprüfe ich dann die Variable Section, indem ich prüfe ob Sie gesetzt ist und include dann mit einem switch -> case. Somit unterbinde ich auch das includen von Dateien die unerwünscht oder außerhalb meines Servers liegen. Weiterhin checke ich ob die Datei direkt aufgerufen wird oder nicht und unterbinde einen Direktaufruf. Die Dateien liegen innerhalb eines geschützten htaccess Ordners inklusiver der Configdatei.
Ist alles soweit so gut. Nur ich würde gerne die Übergabe von Variablen per URL unterbinden. Wie kann ich das am besten anstellen? In Formularen sicher mit hidden inputfeldern. Aber was mache ich bei normalen Links? Sprich zum Beispiel in einem Forum. Ich brauche die ID des Beitrages und die Page z. B. wenn es über 100 Beiträge gibt. Ich kontrolliere solche Variablen derzeit mit
PHP:
intval($id) > 0
Aber das ist sicher keine tolle Lösung auf Dauer. Zumal Links wie
PHP:
index.php?section=Thema&id=1&page=59&variablewasweißich=2373
total e aussehen. Das Überprüfen ist nicht weiter schlimm. Kann ja künftig im Script bestehen bleiben. Aber ich denke ohne die Aussage der Variablen, reduziert sich auch gleichzeitig die Angriffsbreite auf die Seite.
Wie kann ich das ganze am besten umgehen? Sessions? Wenn ja wie sähe das Scripttechnisch aus? Oder vielleicht gibt es auch eine andere Variante? Ich selbst dachte es wäre vielleicht sinnvoll die Navigation über Pseudodateien zu lösen. Sprich ich verlinke auf eine Seite sagen wir Thema.html. Das System soll diese Datei aber in der index.php ausführen und dem User vorspielen er nutzt gerade die Thema.html Datei.
Ist sowas möglich? Wenn ja wie? Ist es sicherer?
Dann würde ich gerne noch wissen, was genau der Unterschied zwischen $POST und $GET ist und welche Variante für Formularauswertungen besser geeignet ist?
Zu guter Letzt würde mich noch interessieren, ob es möglich ist, Dateien aus dem Upload eines Benutzers auf Viren zu überprüfen?
Ich hoffe ich habe mich bei meinen Fragestellungen klar und deutlich ausgedrückt.
Ich danke euch für die Mühe und Zeit im Voraus.
Gruß Ronny
Zuletzt bearbeitet: