| | | | |
05.05.2011, 20:41
| |
| Neuer Benutzer Registriert seit: 05.05.2011
Beiträge: 1
PHP-Kenntnisse: Anfänger  |  $_POST-Sicherheit: Übertragung abfangen Hi zusammen! Ich hätte da eine Frage: Wie sicher ist die Übergabe von Variablen per $_POST. Kann da jemand die Variablen und deren Inhalte abfangen? Irgendwie sollte dies ja möglich sein, da ja der Browser die Variablen an der Server schickt (kein HTTPS). Ich frage, weil ich eine kleine Anwendung geschrieben habe und nicht will, dass jemand sein eigenes Formular schreibt und von Extern auf die Anwendung zugreift. Herzlichen Dank für eure Hilfe! Grüsse sartorial |
|  |
 | |
| PHP Code Flüsterer Registriert seit: 21.08.2005 Beiträge: 4682 PHP-Kenntnisse: Fortgeschritten | |
|
05.05.2011, 20:50
| |
| Gast
Beiträge: n/a
| Verwendet du kein HTTPS und verschlüsselst auch sonst nicht, sind die Daten unsicher. Und unabhängig davon, ob du verschlüsselst oder nicht verschlüsselst, übergebene Daten müssen grunsätzlich immer in PHP validiert werden. Das gilt für $_GET genauso wie für $_POST. |
| |
|
05.05.2011, 23:28
| |
| moderatives Dielektrikum  Registriert seit: 21.05.2008
Beiträge: 35.987
PHP-Kenntnisse: Fortgeschritten  | Das sind zwei völlig verschiedene Themen. Man-in-the-middle hat nichts mit Formular-nachbauen zu tun.
__________________ -- One pixel is still too big. Please make it smaller. ASAP. Initiative Mittelstand. Die wichtigste Gestaltungsregel im Screendesign ist Pi mal Daumen des Arbeitgebers. -- |
|
| |
|
06.05.2011, 11:16
| |
| Gast
Beiträge: n/a
| Ja, die können mit einer Sniffer-Software (z. B. Wireshark) abgefangen und ausgelesen werden, wenn Du sie nicht vorher schon verschlüsselt hast und kein HTTPS benutzt. Absniffern ist aber illegal! |
| |
|
06.05.2011, 12:10
| ||
| Moderator¹ Registriert seit: 28.03.2010
Beiträge: 7.470
PHP-Kenntnisse: Fortgeschritten | Zitat:
Du kannst natürlich die Verarbeitung von Daten davon abhängig machen, ob der Nutzer sich vorher eine Session „geholt“ hat, oder von einem vorher vom Server ausgegebenen Token o.ä.
__________________ RGB is totally confusing - I mean, at least #C0FFEE should be brown, right? | |
|
| |
|
06.05.2011, 16:13
| |
| Erfahrener Benutzer Registriert seit: 17.12.2008
Beiträge: 100
| Muss da auch mal nachhaken. Mal davon abgesehen, dass ich nie groß über meine Anfangskenntnisse hinaus gekommen bin, bastel ich gerade ne kleine Mitgliederverwaltung die evtl. je nach Gefallen, lokal zum Einsatz kommen soll. Wie darf ich nun die Validierung von $_POST verstehen? Das einzigste was ich gerade am Umsetzen bin, ist ein Affenformular und hier gehts mir im Moment nur ob Eingabefelder für Zahlen, auch nur Zahlen enthalten. Gegen was sollte ich $_POST-Variablen sonst nocht validieren? Dazu bräuchte ich doch dann im entsprechenden Script ne Variable die ich dann vergleichen könnte.
__________________ B.L.U.B. -> Biohazard Liquid Undefinied B.L.U.B. |
|
| |
|
06.05.2011, 16:24
| |
| Erfahrener Benutzer Registriert seit: 01.09.2010
Beiträge: 4.561
PHP-Kenntnisse: Fortgeschritten | nun die Hinweise standen ja schon in den Posts "weiter oben" - - bitte kein $_SERVER["PHP_SELF"] innerhalb von <form-Action .. - erzeuge ein Token (irgendeine ZeichenKette), bette das Token in dein Formular mit ein, - arbeite mit Zeitstempeln, um die Zeit zum Ausfüllen "im Blick" zu haben ... - Validierung der Daten ist auch Pflicht - hier insbesondere auch von Feldern, deren Antworten normalerweise "nicht variabel" sind ... also Radiobuttons / Checkboxen / Select-Listen .. geh stattdessen erstmal davon aus, dass ein "Hacker" dein Formular nachgebaut hat - aber überall mit <input type="text" arbeitet, um selbst Daten eintippen zu können und so Schwachstellen zu finden ... - https mit gültigem Zertifikat ...
__________________ "Irren ist männlich", sprach der Igel und stieg von der Drahtbürste  |
|
| |
|
06.05.2011, 16:27
| ||
| Erfahrener Benutzer Registriert seit: 21.12.2004
Beiträge: 5.234
PHP-Kenntnisse: Fortgeschritten  | Zitat:
 @Knutschi: Grundsätzlich validiere immer alles, was vom Browser kommt. Niemals Annahmen treffen. Wenn in einem FOrmularfeld eine Zahl drin stehen soll, muss das in PHP geprüft werden. Wenn es gefüllt sein soll, muss dies in PHP geprüft werden. Wenn man sich auf "login.php" einloggen muss um "secret.php" zu sehen, musst du auf secret.php prüfen ob der User eingeloggt ist und ob er der Admin ist, der es sehen darf oder ein normaler User. Wenn der User einen Eintrag in der Db löschen will, musst du prüfen, ob der Eintrag exisiert und ob er das Recht hat, diesen zu löschen. usw. Es gibt eine Grundregel: Vertraue NIEMALS NIE dem Browser.
__________________ www.php-maven.org PHP und Maven vereint: Build/Deploy/Produktion/Konfiguration, Projekt Management, CI, PHPUnit, zahlreiche Frameworks Twitter @ https://twitter.com/#!/mepeisen und Facebook @ http://t.co/DZnKSUih | |
|
| |
|
06.05.2011, 16:56
| ||
| Erfahrener Benutzer Registriert seit: 17.12.2008
Beiträge: 100
| Zitat:
In dem aktuellen Formular sollen alle Eingaben geprüft werden, auch um bei unbeabsichtigten versenden eines leeren Formulars keine leeren bzw. unvollständigen DB-Einträge zu generieren die man dann später sichten muss. Um mal speziell auf die Radio/Checkboxen zu gehen: Ich verwende gerade ne Checkbox um im weiteren Schritt dann, ein weiteres Formular aufzurufen um hier einen Erziehungsberechtigten einzupflegen falls dies notwendig ist. Wozu müsste ich den nun validieren? Bzw. Checkboxen usw. allgemein, mit meinem beschränkten wissen, geh ich mal davon aus, das man hier nichts manipulieren könnte. Aber dies scheint ja wohl nicht der Fall zu sein sonst würde es ja nicht erwähnt werden. Wie könnte jemand da was drehen? Könnt ihr mir ein paar Tutorials bzw. Seiten oder auch speziell Bücher empfehlen?
__________________ B.L.U.B. -> Biohazard Liquid Undefinied B.L.U.B. | |
|
| |
|
06.05.2011, 17:00
| ||
| moderatives Dielektrikum Registriert seit: 21.05.2008
Beiträge: 35.987
PHP-Kenntnisse: Fortgeschritten | Zitat:
http://www.php.de/wiki-php/index.php/Validierung http://www.php.de/wiki-php/index.php...von_Formularen
__________________ -- One pixel is still too big. Please make it smaller. ASAP. Initiative Mittelstand. Die wichtigste Gestaltungsregel im Screendesign ist Pi mal Daumen des Arbeitgebers. -- | |
|
| |
 |
| Themen-Optionen | |
| Thema bewerten | |
|
|
Ähnliche Themen | ||||
| Thema | Autor | Forum | Antworten | Letzter Beitrag |
| fsockopen POST an fremden Server abfangen? | M1N€R2010 | PHP Einsteiger | 3 | 15.03.2011 18:18 |
| Sicherheit für REST-Service via digitale Signatur - Modellvergleich | michaelh | PHP-Fortgeschrittene | 5 | 23.09.2010 18:16 |
| Formularverarbeitung, Sicherheit | nikosch | Wiki Diskussionsforum | 5 | 14.07.2010 13:01 |
| [Erledigt] Wie hoch ist das Interesse an Sicherheit? | Sirke | PHP Tipps 2010 | 7 | 26.02.2010 19:22 |
| Sessions und die Sicherheit. Verständnisfrage. | litterauspirna | PHP Tipps 2008 | 7 | 30.10.2008 09:39 |
| sicherheit | SteiniKeule | PHP Tipps 2008 | 9 | 20.10.2008 06:48 |
| [Erledigt] Sessions und Sicherheit | Wolla | PHP Tipps 2008 | 16 | 01.08.2008 19:33 |
| Sicherheit in PHP | robydog | PHP Tipps 2008 | 52 | 10.05.2008 13:09 |
| Erfahrung mit Sessions ( Sicherheit ) | GELight | PHP Tipps 2006 | 6 | 11.08.2006 17:55 |
| Sicherheit.... | renzo | PHP Tipps 2005-2 | 1 | 27.06.2005 15:53 |
| Besucher kamen über folgende Suchanfragen bei Google auf diese Seite |
| passwort übertragung abfagnen, $_post abfangen, php $_post sicherheit, sicherheitsübertragung, $_post sicher, $_post sicherheit, php post sicher, php post sicher auffangen, $_post unsicher, php sicherheit $_post, $_post sicher?, php post abfangen, php post sicherheit, passwort übertragung abfangen, php $_post sicher, post variable abfangen, post übertragung sicherheit, sicherheit $_post, $_post sicher abfragen, post abfangen und auslesen extern |
