GELight

Hallo alle zusammen,

Ich hätte mal eine Frage an euch im Bezug aus die Sicherheit meiner Scripte, Variablen, Datenbankzugänge usw....

Ich fang einfach mal an:

1. Wie sollte man seine DatenbankDaten wie localhost, User, PW und DBName am besten ablegen und nutzen? Einfach so in einer PHP ablegen und includieren ist wohl nicht der sicherste Weg. Ich hab bisher meine LoginDaten und meine genutzen Tabellen fest in einer Klasse gehabt und dann die jeweilige Variable in meine Skripte eingesetzt.
Wie macht man es sicher?

2. Welche Möglichkeiten hat man von außen auf die Daten einer Session zurückzugreifen... oder ist es möglich von außerhalb einfach diese sogar zu manipulieren?

3. Wie INCLUDiere ich richtig und SICHER?
Einmal kann ich ja Require_once nehmen, so wie ich es bisher gelesen habe. Aber am Ende ist steht "irgendwo" ja dennoch mein Pfad und meine Datei, die ich includieren möchte? Wie sollte man es also besser tun?

4. Welche Möglichkeiten habe ich einen Angriff abzuwehren, wenn zB jemand versucht in ein Textfeld etwas einzugeben um mein Script zu unterbrechen und ein fremdes Skript einzusetzen? Damit kann ja auch einiges kaputt gemacht werden oder sehe ich das falsch?

Ich weiß es ist recht viel auf einmal an Fragen aber meiner Meinung nach auch mit das wichtigste, was ich mal wissen sollte, wenn ich doch mal etwas größeres schreiben möchte um nicht Gefahr zu laufen alles total unsicher aufzubauen.

Ich hoffe Ihr könnt mir da ein paar gute Tipps geben, auf was ich so alles achten "sollte". Ich DANKe jedem, der mir weiter hilft.

Gruß, Mario

Mister Ad

Buhmann

Zu sicherheit in php gibt es tausende Artikel ....

Erstmal hatten wir fast das gleiche heute schon: http://www.phpfriend.de/forum/ftopic53690.html

Zu 1.: Ich halte es für sicher, die Passwörter in einer config-datei abzulegen (also ganz normale .php datei). Natürlich solltest du keine passwörter verwenden, die du auch anderswo benutzt, schließlich kann dein webmaster sich die dateien ansehen, was zwar unfein, aber dennoch möglich ist.


Zu 2.: Wenn du alleine auf deinem Server bist, sollte das Problem nicht bestehen. Wenn du mit mehreren Benutzern auf einem Server bist, wird es kritischer, bei ausreichender konfiguration von php sollte es aber kein problem sein. Auf deinem eigenen account solltest du aber nur personen den Zugriff erlauben, denen du voll vertraust.

Zu 3.: ... woher soll das Programm wissen, welche datei includet werden soll, wenn du den pfad nicht hinschreiben willst?

Zu 4.: Grundsätzlich gilt, sämtliche eingaben auf genauste zu prüfen und register_gobals zu deaktivieren. Vor allem bei eingaben, die in sql querys einzug finden, solltest du dem user unter keinen umständen vertrauen.

Zu risiken und nebenwirkungen fragen sie google und ihren Webmaster

Ach ja bevor ichs vergesse: Auch hier finden sich interressante links und artikel zu diesem und vielen anderen themen *schleichwerb*

c-f-g

Ich möchte hier mal anknüpfen:

Ab und an, wenn ich das laden einer Seite abbreche, dann ist der PHP-Quelltext sichtbar. Ich habe keine Ahnung womit das zusammenhängt, wollte mich nur mal erkundigen, ob das schon mal jemand außer mir begegnet ist.

Variante 1 wäre dann nämlich recht risikoreich...

__________________

Corvin

Das ist der HTML- und JavaScript-Code, welcher sowieso für jeden einsehbar ist.

Das dürfte auch noch interessant sein:
http://forum.developers-guide.net/showthread.php?t=688

c-f-g

Interessanter Link, habe ich mir mal gebookmarkt.

Das andere werde ich mal weiterverfolgen

__________________

Basti

Hallo Mario

Sinnig ist noch, die Config-Datei außerhalb des doc-root abzulegen oder via .htaccess zu schützen. Womölich läuft irgendwann mal PHP nicht an, dann würde der Webserver einfach den Quelltext ausgeben.

Es gibt noch die Variante, in einem auto_prepend_file die die Zugangsdaten in die Umgebungsvariablen zu schreiben. Dann musst du alerdings acht geben, dass du nicht irgendwo die Ausgabe von phpinfo() veröffentlichst.

An deine Session-Daten kommt jeder, der diese Dateien lesen (bzw. schreiben) kann. Wer das darf, hängt davon ab, wie der Server eingerichtet ist. Ich hab gehört, dass auf vielen Shared Hosts alle PHP-Prozesse unter einem Benutzer liegen und von daher auch alle Benutzer auf dem Rechner alle Session-Dateien auslesen können, die im Standard-Vezeichnis /tmp liegen. In dem Fall musst du natürlich einen anderen Pfad für die Speicherung definieren.

Was die Angriffe von Außen angeht, so ist das natürlich ein eigenes Thema. Stichwörter: Session-Fixation, Session-Hijacking und auch CSRF.

Ich binde alle meine Klassen mit __autoload() ein. Alles andere ist ja sehr überschaubar. Ich hab eine Funktion, die für einen übergebenen Pfad relativ zum Wurzelverzeichnis der Anwendung via __FILE__ einen absoluten Pfad zusammenbaut.

An sonsten kann man natürlich auch von include_path Gebrauch machen.

Was das allerdings mit Sicherheit zu tun haben soll, hab ich nicht verstanden.

magic_quotes.gpc abschalten (oder Auswirkungen ggf. rückgängig machen) und dann klarmachen, dass die Variablen alles enthalten können. Also Wertemenge für die Variablen definieren und prüfen, ob die Werte drinnen liegen oder auch nur Steuerzeichen entfernen. ...je nach dem, was du damit anstellst.

register_globals wurde ja bereits genannt.

Basti