vampsoftchef

Hallo,

bisher ist bei mir php und mysql immer zu kurz gekommen, da ich auch meist nicht viel Zeit hatte.
Jetzt habe ich immer mal ein bisschen an meiner Seite gebastelt und in den letzten 3 Wochen ist sie nun endlich fertig geworden.

Jetzt wollte ich sie Anfang September veröffentlichen, doch vorher würde ich sie noch gern testen ob ich irgendwelche bekannten Sicherheitsprobleme übersehen habe bzw. was ich an sicherheitsrelevanten Dingen noch verbessern könnte?! Da ich selbst noch php-Anfänger bin und eben auch nur Grundkenntnisse habe, möchte ich mal die erfahrenen User hier fragen die sich vor allem mit Bugs in php und Sicherheitslücken bzw. Standards auskennen, ob es jemanden gibt der vielleicht mal auf meine Webseite schauen kann und eventuell ein paar Risiken oder Lücken aufdeckt?

Ich möchte hier keine Werbung machen daher wäre super wenn ihr hier postet bzw. mir eine pn schreibt, ich melde mich dann bei euch.

Bis denne, Andreas

Mister Ad

Jogibär

Sicherheitslöcher lassen sich mit Hilfe des Quellcodes leichter entdecken, als sich die Seite anzusehen.
Und dem Titel von diesem Board steht:
Erfahrene PHP'ler können hier Ihr Wissen austauschen, Hilfe anfordern und andere unterstützen

Jogibär

imported_Ben

Arbeite das hier mal durch:
http://forum.developers-guide.net/showthread.php?t=688
und passe deinen Code ggf. an.

__________________
Webentwickler-Blog - Buchbesprechung PHP Design Patterns - SQL-Antipatterns

vampsoftchef

@Jogibär: Ab wann ist man erfahren? Wenn man php beherrscht und mysql kann und ein Projekt realisiert hat - ist man dann Profi? Für mich ist ein Experte jemand der fast alles weiß auf einem Gebiet (alle geht nicht) und sich schon sehr sehr lange damit befasst. Daher sehe ich mich als Anfänger. Wo hätte ich es sonst posten sollen wenn nicht hier? Im Anfängerforum? Der Post richtet sich ja an Experten

@Ben: Super, genau sowas habe ich gesucht. Ich werd das mal durcharbeiten.

MfG Andreas

Jogibär

Ob Anfänger-, Fortgeschrittenen- oder Profi-Board, hängt von deinem Wissensstand ab. Die "Profis" lesen alle Boards.

Zumindest habe ich das so verstanden, sollte ich mich irren, kann mich ja einer der Experten korrigieren.

Jogi

imported_Ben

Jogi hat natürlich Recht.

__________________
Webentwickler-Blog - Buchbesprechung PHP Design Patterns - SQL-Antipatterns

Basti

Hi.

Hab mir den Thread von Corvin nicht komplett durchgelesen. Dennoch ein paar ergnzende Stichworte:

* Prinzipiell alle Benutzereingaben prüfen (steckt da sicherlich in den einzelnen Punkten drinnen, lässt sich so aber ganz gut auf den Punkt brinen)
* session.save_path auf Shared Hosts
* Session-Fixation
* E-MailHeader-Injections von Kontaktformularen
* Dateirechte auf Shared Hosts
* Race Conditions
* ?

Und noch ein paar Links aus meinen Bookmarks (wild durcheinander, sorry):
http://phpsec.org/projects/guide/
http://www.owasp.org/index.php/PHP_Top_5
http://shiflett.org/articles
http://www.phpwact.org/security/web_...ation_security
http://www.christopher-kunz.de/GUUG_...2005.86.0.html
http://zh.phpug.ch/_media/meetings/p...14&cache=cache
http://www.ilovejackdaniels.com/php/writing-secure-php/
http://phpsec.org/library/
http://www.christopher-kunz.de/PHP-Security.75.0.html
http://www.phpwact.org/security/func...eval_functions
http://www.securereality.com.au/studyinscarlet.txt

Basti

Einfach mal die oben festgepappten Threads in den jeweiligen Foren lesen. Die Einteilung ist natürlich letztlich halbwegs willkürlich, denn mitunter verdienen Leute täglich ihr Geld mit PHP, die wenig Plan haben, sind also vom Rahmen her Profis, von ihrer Qualifikation jedoch nicht. Der andere sieht sich nach 3 Jahren Programmiererei noch als Anfänger, der nächste als Fortgeschrittener, weil er schonmal ein Kontaktformular zusammengebacken bekommen hat etc.