php.de

Zurück   php.de > Webentwicklung > PHP-Fortgeschrittene
[Erledigt] Thema Sicherheit? [Erledigt] Thema Sicherheit?
Wiki Registrieren Grundlagen Suchen Heutige Beiträge Alle Foren als gelesen markieren

PHP-Fortgeschrittene Arbeiten mit PHP ohne Einschränkungen

Antwort
 
LinkBack Themen-Optionen Thema bewerten
Alt 04.11.2004, 22:58  
Gast
 
Beiträge: n/a
Standard [Erledigt] Thema Sicherheit?
Hi Leute!

Hätte ein paar Fragen zur Sicherheit!

1. In wie weit ist PHP sicher? Wo liegen da die Sicherheitslücken?

2. In wie weit kann man in eine Datenbank eindringen z.B. bei einem Provider wie 1und1?

3. Sind Bilderuploads ein Sicherheitsrisiko? (Nach meinem Kenntnisstand kann man Textdateien als jpg oder gif hochladen)

Wäre vielleicht eine Idee für eine neue Kategorie hier bei phpfriend.de?

Gruß alter mann
  Mit Zitat antworten
Sponsor Mitteilung
PHP Code Flüsterer

Registriert seit: 21.08.2005
Beiträge: 4682
PHP-Kenntnisse:
Fortgeschritten

Alt 04.11.2004, 23:53  
Waq
Erfahrener Benutzer
 
Registriert seit: 15.08.2004
Beiträge: 2.473
Waq
Standard Re: Thema Sicherheit?
Zitat:
Zitat von alter mann
1. In wie weit ist PHP sicher? Wo liegen da die Sicherheitslücken?
Wonach fragst Du? Nach den Sicherheitslücken in PHP selbst oder nach denen, die man mit PHP bauen kann?
Für PHP selbst sollte man darauf achten, dass man möglichst aktuelle Versionen von PHP verwendet, bei älteren ist da doch das eine oder andere Problem.
Und die Sicherheitslücken, die man mit PHP selbst bauen kann, sind ein weeeeeeiiiiiites Feld, grossteils gar nicht PHP-Spezifisch sondern die allgemeinen Sicherheitsprobleme beim Programmieren sowie die Sicherheitsprobleme, die aus dem Anwendungsbereich und dem Umfeld kommen, also den Gegebenheiten des Internets, mit dem ja interagiert werden muss sowie mit dem System, auf dem PHP läuft, also Betriebssystem, Webserver, Datenbank...

Zitat:
Zitat von alter mann
2. In wie weit kann man in eine Datenbank eindringen z.B. bei einem Provider wie 1und1?
Kommt auf den Provider an. Wenn die das gut machen, sind die Risiken da sehr gering. Es gibt da aber auch viele Stümper... wobei man von 08/15-Webspace nicht zuviel Sicherheit erwarten sollte und bei Root-Servern sowieso selbst dafür zuständig ist.
Bei 1&1 sollte man ganz gut aufgehoben sein sollte, die machen AFAIK relativ saubere CGI-Sandboxen.

Zitat:
Zitat von alter mann
3. Sind Bilderuploads ein Sicherheitsrisiko? (Nach meinem Kenntnisstand kann man Textdateien als jpg oder gif hochladen)
Wenn man eine Datei hochladen lässt ohne diese von der Dateiendung her zu prüfen, und dann hat man eine .php-Datei auf dem Server liegen und diese ist über den Browser aufrufbar, dann ist das natürlich eine Sicherheitslücke. Wenn man diese Zusammenhänge nicht versteht, wird man immer Sicherheitslücken bauen.
Allerdings ist dieses Beispiel nichts weiter als ein Beispiel einer ungeprüften Eingabe vom Nutzer und damit ein Verstoss gegen ein Grundprinzip der IT-Sicherheit.
__________________
mod = master of disaster
Waq ist offline   Mit Zitat antworten
Alt 05.11.2004, 00:16  
Gast
 
Beiträge: n/a
Standard
Zu 3.
Ja da hast Du Recht!
Man kann nach meinen Tests her eine html Seite als gif abspeichern und dann uploaden! Das Funktioniert wunderbar! Ich hab das mal mit PHP Code versehen und dann ging es aber nicht das der PHP Code läuft!
Glaubst du es gäbe eine Möglichkeit den Code doch zum Laufen zu bringen?
(Ich hoffe nicht!)

Gruß alter mann
  Mit Zitat antworten
Alt 05.11.2004, 00:29  
Waq
Erfahrener Benutzer
 
Registriert seit: 15.08.2004
Beiträge: 2.473
Waq
Standard
Wenn ausgeschlossen wird, dass die Datei die Endung .php bekommt (oder eine andere, die vom Webserver als PHP ausgeführt wird), sollte das keine Sicherheitslücke sein.
__________________
mod = master of disaster
Waq ist offline   Mit Zitat antworten
Alt 05.11.2004, 00:38  
Gast
 
Beiträge: n/a
Standard
Danke für deine Mühen!
Kannst Du mir wenn Du mal Lust hast zu Punkt 1 ein paar Beispiele für die allgemeinen Sicherheitsprobleme beim Programmieren sowie die Sicherheitsprobleme, die aus dem Anwendungsbereich und dem Umfeld kommen schreiben?

Das ich mir da was vorstellen kann!



Danke
  Mit Zitat antworten
Alt 05.11.2004, 05:43  
Waq
Erfahrener Benutzer
 
Registriert seit: 15.08.2004
Beiträge: 2.473
Waq
Standard
Um es mal zu Verallgemeinern hat man immer dann ein Problem, wenn der Programmierer sein Programm nicht unter Kontrolle hat. Ein Sicherheitsproblem hat man dann, wenn zuätzlich noch ein böser Bube ein gewisses Mass an Kontrolle erlangen kann.
Um dass zu Verhindern, muss der Programmierer seine Werkzeuge kennen, denn wenn er nicht weiss, wie sie funktionieren, kann er sie nicht kontrollieren. Und er muss die Zusammenhänge durchschauen, sowohl die gegebenen (z.B. des Internets), als auch die, die er in Form des Programmes selbst schafft. Und er muss aufpassen, sonst passieren Flüchtigkeitsfehler. Ein mit heisser Nadel gestricktes Programm wird immer irgendwelche Fehler enthalten, und der eine oder andere davon wird schon sicherheitsrelevant sein.
Dazu kommt beim Thema Sicherheit immer noch, dass man niemandem vertrauen darf. Jeder Internet-Nutzer ist ein potentieller Angreifer und muss auch so behandelt werden. Berechtigungen und Vertrauen dürfen nicht mit der Gieskanne verteilt werden, sondern nur an die, die es auch brauchen, und die sollten sich dann über einen möglichst sicheren Login dem Programm gegenüber identifizieren.

Mir fällt grade auf, dass dieser Abschnitt des Manuals gar nicht mal so schlecht aussieht:
http://php3.de/manual/de/security.php
Ansonsten würde ich google empfehlen, da findet sich einiges.
Hervorgehoben seien v.a. die SQL-Injections, dass dürften die häufigsten Sicherheitslücken im Zusammenhang mit PHP/MySQL sein.
__________________
mod = master of disaster
Waq ist offline   Mit Zitat antworten
Antwort

« Checkboxen in array und parse_ini übernehmen | [Erledigt] Problem mit Arrays »

Themen-Optionen
Thema bewerten
Thema bewerten:

Forumregeln
Es ist dir nicht erlaubt, neue Themen zu verfassen.
Es ist dir nicht erlaubt, auf Beiträge zu antworten.
Es ist dir nicht erlaubt, Anhänge hochzuladen.
Es ist dir nicht erlaubt, deine Beiträge zu bearbeiten.
BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are an
Gehe zu

Ähnliche Themen
Thema Autor Forum Antworten Letzter Beitrag
[Erledigt] Thema anpinnen und Thema als gelesen markieren? litterauspirna PHP Tipps 2008 27 04.08.2008 11:19
Neues Thema und Eröffnungspost richtig zueinander in 2 Tabelen eintragen? litterauspirna PHP Tipps 2008 8 25.06.2008 13:37
Sicherheit in PHP robydog PHP Tipps 2008 52 10.05.2008 13:09
FON und die WiFi Ads - Bald mehr Sicherheit PHP Tipps 2007 0 03.08.2007 12:06
Tutorial zum Thema "PHP/MySQL Auswertung/Statistik" simsalabim PHP Tipps 2007 5 24.06.2007 23:36
Erfahrung mit Sessions ( Sicherheit ) GELight PHP Tipps 2006 6 11.08.2006 17:55
RSS zum thema php notyyy Trash 1 05.03.2006 12:36
Sicherheit... GELight PHP Tipps 2006 5 31.01.2006 15:58
Frage zur Sicherheit von GET Variablen malaga PHP Tipps 2005-2 3 20.09.2005 13:36
Sicherheit im Web-Interface nussbaum PHP Tipps 2005-2 9 29.06.2005 14:10
Sicherheit.... renzo PHP Tipps 2005-2 1 27.06.2005 15:53
Develnet-Tutorial zum Thema Sessions/Fallback PHP Tipps 2004 1 16.10.2004 13:58
NESTED SETS dieses Thema sollte abgehakt werden PHP Tipps 2004 0 12.10.2004 18:18
Brauche dringende Hilfe zum Thema Sessions!!! PHP Tipps 2004 9 26.07.2004 12:12

Besucher kamen über folgende Suchanfragen bei Google auf diese Seite
sicherheit zitat, zitate mit thema sicherheit, zitate zum thema sicherheit, \ist php sicher\, sicherheitsprobleme 1und1

Alle Zeitangaben in WEZ +1. Es ist jetzt 11:02 Uhr.

php.de - Das deutsche PHP-Forum - Kontakt - Impressum - Forenregeln - Archiv - Nach oben



Powered by vBulletin® Version 3.7.2 (Deutsch)
Copyright ©2000 - 2012, Jelsoft Enterprises Ltd.
Search Engine Optimization by vBSEO 3.2.0
Aprilia-Forum, Aquaristik-Forum, Liebeskummer-Forum, Zierfisch-Forum, Geizkragen-Forum

Creative Commons License
Dieser Inhalt ist unter einer Creative Commons-Lizenz lizenziert.