Sicherheit im Web-Interface

nussbaum · 29.06.2005, 10:47

Hallo,

mein derzeitiges Web-Interface für Vereinsmitglieder stellt eine wichtige Informations- und Kommunikationsplattform da. Es läuft hauptsächlich mit einer MySQL Datenbank und einer Session Verwaltung. Nun meine Frage: Was sollte ich für die Sicherheit der Seite noch tun bzw. überprüfen?!

JEGO · 29.06.2005, 10:52

leider sehe ich deine Scripte so schlecht in meiner glaskugel....

daher ist es sehr schwer, dir eine richtige Antwort zugeben...

nussbaum · 29.06.2005, 10:54

Es geht ja auch nicht um die Scripte, sondern eher um eine allgemeine Lösung bzw. Hinweise?! :wink:

Soviel Platz ist hier garnicht vorhanden

29.06.2005, 10:55

Guck Dir doch mal das hier an:

http://php-info.org/ftopic82.html

http://tut.php-q.net/login.html

Kannst ja mal vergleichen bzw Dir Anregungen holen.

nussbaum · 29.06.2005, 11:10

Welchen Vorteil hat es wenn ich wie in folgendem Beispiel die Config Variablen in ein Array packe?

http://php-info.org/viewtopic.php?p=692#692

Alternative:

PHP-Code:

  <?php

$host = "localhost";

$db   = "bla";

?>

Ist es außerdem sinnvoll alle Tabellendaten eines Users in eine Session-Variable zu übertragen?

PHP-Code:

  <?php

$_SESSION["user_nachname"]  = $data["Nachname"];

// usw ....

?>

imported_Ben · 29.06.2005, 11:23

Zitat:

Zitat von nussbaum

Welchen Vorteil hat es wenn ich wie in folgendem Beispiel die Config Variablen in ein Array packe?

http://php-info.org/viewtopic.php?p=692#692

Dabei geht es mehr um Übersichtlichkeit und die Möglichkeit allgemeine Daten zentral modifizieren zu können.
Du kannst auch gerne in jedem Script die Zugriffsdaten explizit reinschreiben .. das ist aber bei einer nachträglichen Änderung dann sehr aufwendig.

Du kannst z.B. auch mit Konstanten arbeiten, die Du in einer separaten Konfigurationsdatei definierst.

Zitat:

Zitat von nussbaum

Ist es außerdem sinnvoll alle Tabellendaten eines Users in eine Session-Variable zu übertragen?

Ich denke, dass man das nicht pauschal sagen kann.

Es kommt meiner Ansicht nach auf die Menge der Daten an. Du musst eben vergleichen, was schneller ist. Auf der einen Seite werden alle Daten in der Session serialisiert und wieder deserialisiert, wenn Du die Daten in in die Session packst. Speicherst Du z.B. nur die UserID in der Session, dann kannst Du auf einer anderen Seite diese nutzen, um den entsprechenden Datensatz aus der Datenbank abzufragen.

Was schneller geht ... musst Du selbst rausfinden, allerdings würde ich allein aus Gründen der Übersichtlichkeit nur die UserID übergeben.

Grüße Ben.

29.06.2005, 13:44

Wen Sicherheit interessiert, kann ich nur Sicherheitsrisiko Webanwendung von Sverre H. Huseby ans Herz legen. Ist wirklich gut geschrieben und gibt nette Beispiele und Lösungsstrategien.

nussbaum · 29.06.2005, 13:52

Wie sollte ich diese Config-Datei dann einbinden?

mit:
include("/kunden/bla ....");
oder:
require_once("/kunden/bla ....");
oder?

Kann ich diese Config Datei auch im Header (Extra Datei) einbinden und in die andere Seite includen?

29.06.2005, 14:09

require ist hier die sinnvollere Variante. Wenn die Config nämlich nicht eingebunden werden kann (weil sie fehlt o.ä.), bricht das Skript mit einem Fehler ab. Bei include wird nur ein Warning erzeugt und das Skript läuft weiter... ohne die eingebundene Config.

imported_Ben · 29.06.2005, 14:10

Zitat:

Zitat von nussbaum

Wie sollte ich diese Config-Datei dann einbinden?

Ich arbeite dort mit require_once()
Den großen Unterschied macht das aber nicht

Zitat:

Zitat von nussbaum

Kann ich diese Config Datei auch im Header (Extra Datei) einbinden und in die andere Seite includen?

Wenn Du eine Datei head.php hast, die die Konfigurationsdatei einbindet und selbst in der index.php ganz oben eingebunden wird, dann ist die Datei config.inc.php auch in der index.php verfügbar.

Grüße Ben.

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Thema bewerten
Thema bewerten:

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
BACKLINK CHECK und SICHERHEIT von zentraler CSV-Datei	ff-webdesigner.de	PHP-Fortgeschrittene	16	27.11.2008 20:25
[Erledigt] Sicherheit erhöhen...	pck1983	PHP Tipps 2008	22	03.08.2008 01:31
Sicherheit in PHP	robydog	PHP Tipps 2008	52	10.05.2008 13:09
FON und die WiFi Ads - Bald mehr Sicherheit		PHP Tipps 2007	0	03.08.2007 12:06
PHP Sicherheit	Plague	PHP Tipps 2007	13	26.04.2007 16:24
PHP Sicherheit	phpdummi	PHP Tipps 2006	1	27.09.2006 23:31
Erfahrung mit Sessions ( Sicherheit )	GELight	PHP Tipps 2006	6	11.08.2006 17:55
Sicherheit...	GELight	PHP Tipps 2006	5	31.01.2006 15:58
Sicherheit....	renzo	PHP Tipps 2005-2	1	27.06.2005 15:53
Sicherheit von Klartext-Passwörtern		PHP Tipps 2005	14	30.03.2005 15:22
Interface		PHP Tipps 2004-2	4	11.11.2004 09:34
[Erledigt] Thema Sicherheit?		PHP-Fortgeschrittene	5	05.11.2004 05:43
BNC Interface		Beitragsarchiv	13	22.09.2004 16:28
COM - Interface Frage		PHP Tipps 2004	5	16.09.2004 00:28
Apache öffentlich machen. Sicherheit?		Server, Hosting und Workstations	3	07.07.2004 03:20

29.06.2005, 10:47
nussbaum Benutzer Registriert seit: 29.06.2005 Beiträge: 49	Sicherheit im Web-Interface Hallo, mein derzeitiges Web-Interface für Vereinsmitglieder stellt eine wichtige Informations- und Kommunikationsplattform da. Es läuft hauptsächlich mit einer MySQL Datenbank und einer Session Verwaltung. Nun meine Frage: Was sollte ich für die Sicherheit der Seite noch tun bzw. überprüfen?!


Mister Ad PHP Code Flüsterer Registriert seit: 21.08.2005 Beiträge: 4682 PHP-Kenntnisse: Fortgeschritten

29.06.2005, 10:52
JEGO Erfahrener Benutzer Registriert seit: 01.12.2003 Beiträge: 2.555 PHP-Kenntnisse: Anfänger	leider sehe ich deine Scripte so schlecht in meiner glaskugel.... daher ist es sehr schwer, dir eine richtige Antwort zugeben... __________________ Gruß JEGO Ein PHP Script tut, was Du schreibst, nicht was Du willst.

29.06.2005, 10:54
nussbaum Benutzer Registriert seit: 29.06.2005 Beiträge: 49	Es geht ja auch nicht um die Scripte, sondern eher um eine allgemeine Lösung bzw. Hinweise?! :wink: Soviel Platz ist hier garnicht vorhanden

29.06.2005, 10:55
Gast Beiträge: n/a	Guck Dir doch mal das hier an: http://php-info.org/ftopic82.html http://tut.php-q.net/login.html Kannst ja mal vergleichen bzw Dir Anregungen holen.

29.06.2005, 11:10
nussbaum Benutzer Registriert seit: 29.06.2005 Beiträge: 49	Welchen Vorteil hat es wenn ich wie in folgendem Beispiel die Config Variablen in ein Array packe? http://php-info.org/viewtopic.php?p=692#692 Alternative: PHP-Code: `<?php $host = "localhost"; $db = "bla"; ?>` Ist es außerdem sinnvoll alle Tabellendaten eines Users in eine Session-Variable zu übertragen? PHP-Code: `<?php $_SESSION["user_nachname"] = $data["Nachname"]; // usw .... ?>`

29.06.2005, 13:44
Gast Beiträge: n/a	Wen Sicherheit interessiert, kann ich nur Sicherheitsrisiko Webanwendung von Sverre H. Huseby ans Herz legen. Ist wirklich gut geschrieben und gibt nette Beispiele und Lösungsstrategien.

29.06.2005, 13:52
nussbaum Benutzer Registriert seit: 29.06.2005 Beiträge: 49	Wie sollte ich diese Config-Datei dann einbinden? mit: include("/kunden/bla ...."); oder: require_once("/kunden/bla ...."); oder? Kann ich diese Config Datei auch im Header (Extra Datei) einbinden und in die andere Seite includen?

29.06.2005, 14:09
Gast Beiträge: n/a	require ist hier die sinnvollere Variante. Wenn die Config nämlich nicht eingebunden werden kann (weil sie fehlt o.ä.), bricht das Skript mit einem Fehler ab. Bei include wird nur ein Warning erzeugt und das Skript läuft weiter... ohne die eingebundene Config.