Was kann der User alles sehen?

A

Alice

Erfahrenes Mitglied
Hallo Zusammen.

Ich beschäftige mich aktuell mit der Frage was der User alles aus einem PHP-Skript sehen kann.

Beispiel:
1.) Kann der User sehen oder irgendwie nachvollziehen wenn etwas in der Datenbank eingetragen wird?
2.) Kann der User sehen oder irgendwie nachvollziehen wenn ein anderes Skript (selber Server oder externer Server) angesprochen wird?
3.) Kann der User sehen oder irgendwie nachvollziehen wenn eine Datei gespeichert, verschoben oder gelöscht wird?

Mich interessiert an welche Informationen ein User (Nehmen wir an PHP-Experte) so alles kommen kann auf normalen Wege. Natürlich gehe ich jetzt von einem PHP-Skript aus, welches keine Sicherheitslücken aufweist, sondern gut programmiert wurde.
 
Kommt auf das Skript an, kommt auf den User an, hängt vom Zufall ab.

Ergo: Was ist das für ne Frage? Etwas spezieller wäre gut.
 
Grundsätzlich kann im Browser nur das ankommen was der Webserver sendet (bzw. was PHP dem Webserver zum senden gibt), sprich wenn die Scripte so geschrieben sind dass keine Ausgaben in HTML-Form erfolgen und auch keine Server-Logs öffentlich abrufbar sind, kann der User auch nichts davon mitbekommen.
Man kann natürlich vermuten wann und wo Datenbankzugriffe erfolgen, z.B. beim Klick auf einen Login-Button liegt es nahe dass das Script dann die eingegebenen Daten mit der Datenbank abgleicht - aber mehr auch nicht.
 
Danke für die Antworten.

Ich habe es mir zur Angewohnheit gemacht meine Skripte so gut es geht abzusichern. Nur weiss ich natürlich nicht immer was der User davon mitbekommt.

Ich habe z.B. in einem Kontaktformular von mir an einer Stelle einen Code eingebaut der mich benachrichtigt, wenn mir jemand etwas geschrieben hat. Kann der User das irgendwie einsehen bzw. sehen das so eine Aktion erfolgt ist? Ich habe an einigen Stellen etwas von "Header" oder so ähnlich gelesen, womit man Formulara usw. manupulieren kann. Dies ist bei mir auf jeden Fall nicht möglich. Jedoch möchte ich auch nicht das der User mit Blick in ein Tool weiss das ich z.B. eine seperate PHP-Datei ausgeführt habe wie z.B. bannliste.php (zum abgleichen).

Ich habe auch einen Fehler an einem meiner Skripte festgestellt, welches ich bis heute noch nicht lösen konnte. Das ganze hat mich aber schon etwas erschreckt.

Beim Aufruf einer Seite, wird unten ein Counter eingeblendet. Dieser Counter wird durch eine PHP-Datei live erstellt. Es wird also aus der Datenbank der Counter ausgelesen und daraus eine Grafik erstellt die NICHT gespeichert wird.

Wenn ich nun diese Grafik näher untersuche, kann ich irgendwie die counter.php öffnen und bekomme wilde kryptische Zeichen und ich denke ein PHP-Profi könnte evtl. damit etwas anfangen.
Die Grafik lässt sich mit Firefox (nur damit getestet) nicht auf dem PC speichern. Es wird statt der Grafik die counter.php gespeichert.
 
Öffne mal eine normale .jpg oder .png mit einem Texteditor ;)

Wenn du die Datei über Dateioperationen öffnest, kann der User das nicht sehen. Ich frage mich aber was so schlimm daran ist, würde er mitbekommen, dass du die Bannliste überprüfst. Spätestens wenn er die Meldung bekommt, dass er gebannt bist weiß er das ja ohnehin.

Weiterleitungen kann der User auf jeden Fall mitbekommen. Allerdings glaube ich kaum, dass jemand ernsthaft Interesse daran hegt, nachzuvollziehen wann aus der Datenbank ausgelesen wird. Wie meine Vorredner schon gesagt haben, meistens ist es eh offensichtlich was aus einer Datenbank kommt. Wie der Zugriff erfolgt und wie der Query ganz genau aussieht wissen nur Leute die Einblick ins Script haben (also Du), aber zusammenreimen kann man sich das immer. Auch z.b. bei Computerspielen ist häufig klar welche Programmstrukturen dahinter stecken, ohne dass man den Quelltext sieht.
 
Um antworten zu können musst du eingeloggt sein.

Neue Beiträge

Zurück