Sicherheit in PHP

robydog · 04.05.2008, 23:08

Hallo

mal ne allgemeine Frage. Was sollte alles unternommen werden um PHP Sicherheitslücken zu schliessen. Wie zb SQL Injection.
Ich denke es wäre für viele Anfänger sinnvoll wenn wir hier so ein Sicherheitsthema hätten wo alle wichtigen Sachen zum Thema Sicherheit steht. Ich hab versucht über die Suche was zu finden. Aber nicht viel gefunden. Auch über Google nicht gross.

Einzigste was ich weiss ich SQL Injection. Aber wie genau sollte das angewendet werden.

Zb bei den $_GET und $_POST
mysql_real_escape_string(strip_tags($_GET['id']));
mysql_real_escape_string(strip_tags($_POST['id']));

Ist das so richtig?
Was ist mit?

= trim($_POST["provider"]);
= (int) trim($_GET["id"]);

Was sollte man sonst noch alles unternehmen für die Sicherheit?

Wäre sicherlich für viele hier hilfreich

Manko10 · 04.05.2008, 23:18

Oje, das ist ein sehr weit gefächertes Thema. Ich denke mal, dass man dazu ganze Foren vollschreiben könnte.
An dieser Stelle empfehle ich dir einfach mal ein Buch darüber und hoffe, dass das nicht als Werbung gewertet wird.

dpunkt.verlag | Bücher

robydog · 04.05.2008, 23:24

Ob das Thema nun lang oder Kurz ist ich denke das wichtigste könnte hier doch zusammengetragen werden so dass gerade wir Anfänger von Anfang an die wichtigsten Sachen mit einbauen können. Mir gehts gerade so dass ich ein script komplett fertig gebaut habe und nun werde ich wohl einiges abändern müssen

phpler · 05.05.2008, 01:16

Grundsätzlich gilt: alles, was als Eingabe kommt, ist Schadcode, bis das Gegenteil angenommen werden kann

ALLE zu verarbeitenden Variablen prüfen

bereits geprüfte Variablen müssen nach einem Include (o.ä.) erneut geprüft werden, wenn sie dort verwendet werden

direkte Verwendung von durch $_GET und Konsorten übergebenen Variablen immer vermeiden, also NICHT einfach:

PHP-Code:

   include($_GET['includefile']);

Schneemann · 05.05.2008, 01:25

Mit dem folgenden kleinen Script am Anfang deiner Datei stellst du sehr gute "Säuberer" zur Verfügung.

PHP-Code:

  function array_htmlentities( &$var )
{
  if( is_string( $var ) )
  {
    $var = htmlentities( strip_tags( $var ) );
  }
  else
  {
    if( is_array( $var ) )
    {
      foreach( $var as $key => $value )
        array_htmlentities( $var[$key] );
    }
  }
}

Dort wo du die Funktion brauchst kannst du sie dann aufrufen. Bsp.:

PHP-Code:

  array_htmlentities($_GET)

Wenn du natürlich auch Quellcode oder formatierte Texte durchlassen willst brauchst du weitreichendere Prüfungsfunktionen.

Hu5eL · 05.05.2008, 07:54

Zitat:

Zitat von robydog

PHP-Code:

  mysql_real_escape_string(strip_tags($_GET['id'])); 
mysql_real_escape_string(strip_tags($_POST['id']));

der teil sollte eigentlich alles enfternen was direkt auf deine db wirkt, oder html-befehle in z.b eine ausgabe gibt...

meiner meinung nach sollte das reichen... zumindest bei strings. wenns um zahlen geht solltest du das z.b per preg_match überrüfen ob nur zahlen drin vorkommen...

dann sollten eingaben erstmal "grob" sicher sein... natürlich immer darauf achten das der user das was er amcht auch darf... im bezug auf z.b cookie-faking, etc.

ich selbst benutze für strings auch diese 2 befehle.... zu überprüfen wäre noch auf z.b ein subselect o.ä... das mach ich per foreach und schau nach der syntax... klar musst du aufpassen, falls du sql-befehle übergibst, wirst du immer fehler bekommen, weil du sie ja filterst

das so mein grobes wissen dazu...

litterauspirna · 05.05.2008, 10:47

Hallo also generell gilt alles was jemand schreibt oder einträgt ist alles nicht vertrauenswürdig zu sehen und genereller Schadfaktor!
Zum Beispiel bei Sachen wie $_POST,$_COOCKIE,$_GET,$_SESSION,$_REQUEST,$_FILES also alles was unter register globals zählt.

mysql_real_escape_string reicht schon völlig zu um sich vor SQL Injektions zu schützen. Als weitere Sicherheitsmasnahme um z.B. bösen Links vor zu beugen sollte man auf jede Variable egal ob das eine zahl oder ein string ist (auch zahlen können strings sein) sollte man ein regex zum Beispiel mit preg_match machen,da ist eigentlich alles mit getan. Denn da lässt man nur die gewünschten Zeichen zu,alles andere wird als Fehler gewertet!

Man muss natürlich auch darauf achten sich vor Client Seitigen _Angriffen zu schützen z.B. bei einem action Atribut im Formular. Das mache ich zum Beispiel so!

PHP-Code:

 
<form action="<?php echo htmlentities($_SERVER['ÜPHP_SELF']) ?>"
 method="post">

Da lässt sich z.B. ein Javascript nicht mehr drauf ausführen da html tags gefiltert werden!

mfg der litter

David · 05.05.2008, 11:15

Ein mE sehr wichtiger Aspekt sind die verwendeten Paradigmen. Man muss sich klar machen, was jede Entscheidung für Konsequenzen hat.
Zum Beispiel: Ich entscheide mich dafür, für die Datenbankanbindung mysql_connect, mysql_query usw. zu verwenden. Damit habe ich mindestens drei Entscheidungen getroffen.

Die offensichtlichste: Die Bindung an MySQL. Ich kann mich mit mysql_connect nicht zu einem PostgreSQL Server verbinden. MySQL spezifische Datentypen und Funktionen zu verwenden, steigt damit gerade im Kurs. Ich kann das Datenbanksystem schwerer auswechseln. Dafür kann ich auf mehr Funktionalität zurückgreifen und eventuell schnellere Lösungen entwickeln. Standard-SQL deckt eben nicht alles mögliche ab und Datenbank-Abstraktionen können mit einem mal (scheinbar grundlos) langsam werden, weil man irgendetwas abstrakt so abgebildet hat, dass es konkret schlecht umgesetzt wird.
Es werden SQL Statements wie INSERT INTO tablename (a,b,) VALUES ('x','y') verwendet. Sprachelemente (der Sprache SQL) werden mit den Daten vermischt. Daher rührt die Anfälligkeit für injections. Damit es sicher bleibt, muss man konsequent die Daten kontrollieren, in diesem Fall mit mysql_real_escape_string. Vergisst das irgendwo jemand, hat man eine Lücke. Dafür ist es leicht zu schreiben und jemand, der in SQL versiert ist, kann das Statement in jeder Sprache verstehen. Außerdem brauche ich nur ein kleines Set an speziellen Funktionen, der Rest ist String-Manipulation

Prozedurale/Imperative Programmierung. Ich muss nach jedem Funktionsaufruf den Rückgabewert prüfen und auf Fehler reagieren und sie (weiter-)propagieren. Tue ich das an irgendeiner Stelle nicht, geht Fehlerinformationen verloren.

Wenn irgendeine der Konsequenzen Probleme macht, muss man bis zum Grund nach oben gehen, eine neue Lösung finden und die Konsequenzen wieder nach unten durchdenken.
Insbesondere das Zusammenwürfeln von irgendwelchen Codestücke aus Foren ist ein ziemlich sicherer Weg, ein schlechtes Gesamtwerk zu erzeugen.

agrajag · 05.05.2008, 13:49

Zitat:

Zitat von litterauspirna

mysql_real_escape_string reicht schon völlig zu um sich vor SQL Injektions zu schützen.

Code:

$id = mysql_real_escape_string($_GET['id']);
$sql = 'SELECT * FROM table WHERE id = '. $id;

example.com/script.php?id=>=1

litterauspirna · 05.05.2008, 13:51

Häh? Was willst du mir grad damit sagen?

Übrigens auch die id kann man mit einem regex bearbetien und damit sicher stellen das id auch nur eine Zahl ist! Da brauche ich nicht unbedingt mysql_real_escape_string!
Das hier reicht völlig aus!

PHP-Code:

  <?php
if(isset($_GET['id']))
{  
 $id = preg_replace ("/[^0-9]/", '',  $_GET['id']);
}
?>

Damit stellst du sicher das id nichts anderes als eine Zahl ist!
Wenn du die id über ein hidden feld weiter verwendest dann natürlich macht mysql_real_escape_string denn dann gilt ja wieder jedes Formular Element bzw. was über ein Formular kommt ist als nicht vertrauenswürdig einzustufen!

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Thema bewerten
Thema bewerten:

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
BACKLINK CHECK und SICHERHEIT von zentraler CSV-Datei	ff-webdesigner.de	PHP-Fortgeschrittene	16	27.11.2008 20:25
externe MySQL und Sicherheit	sportyflo	Datenbanken	2	22.02.2008 11:09
FON und die WiFi Ads - Bald mehr Sicherheit		PHP Tipps 2007	0	03.08.2007 12:06
PHP Sicherheit	Plague	PHP Tipps 2007	13	26.04.2007 16:24
PHP Sicherheit	phpdummi	PHP Tipps 2006	1	27.09.2006 23:31
Erfahrung mit Sessions ( Sicherheit )	GELight	PHP Tipps 2006	6	11.08.2006 17:55
Sicherheit...	GELight	PHP Tipps 2006	5	31.01.2006 15:58
Sicherheit aufm Webserver ?	Cyberbob_at_tot	Off-Topic Diskussionen	7	17.10.2005 16:22
Frage zur Sicherheit von GET Variablen	malaga	PHP Tipps 2005-2	3	20.09.2005 13:36
Sicherheit....	renzo	PHP Tipps 2005-2	1	27.06.2005 15:53
Sicherheit von Klartext-Passwörtern		PHP Tipps 2005	14	30.03.2005 15:22
[Erledigt] Thema Sicherheit?		PHP-Fortgeschrittene	5	05.11.2004 05:43
Sicherheit bei Wertübergaben		PHP Tipps 2004	3	14.10.2004 18:06
Apache öffentlich machen. Sicherheit?		Server, Hosting und Workstations	3	07.07.2004 03:20
Sicherheit bei URL-Übergabe	pcschröda	PHP-Fortgeschrittene	25	28.06.2004 16:44

04.05.2008, 23:08
robydog Erfahrener Benutzer Registriert seit: 02.03.2008 Beiträge: 351	Sicherheit in PHP Hallo mal ne allgemeine Frage. Was sollte alles unternommen werden um PHP Sicherheitslücken zu schliessen. Wie zb SQL Injection. Ich denke es wäre für viele Anfänger sinnvoll wenn wir hier so ein Sicherheitsthema hätten wo alle wichtigen Sachen zum Thema Sicherheit steht. Ich hab versucht über die Suche was zu finden. Aber nicht viel gefunden. Auch über Google nicht gross. Einzigste was ich weiss ich SQL Injection. Aber wie genau sollte das angewendet werden. Zb bei den $_GET und $_POST mysql_real_escape_string(strip_tags($_GET['id'])); mysql_real_escape_string(strip_tags($_POST['id'])); Ist das so richtig? Was ist mit? = trim($_POST["provider"]); = (int) trim($_GET["id"]); Was sollte man sonst noch alles unternehmen für die Sicherheit? Wäre sicherlich für viele hier hilfreich Geändert von robydog (04.05.2008 um 23:13 Uhr).


Mister Ad PHP Code Flüsterer Registriert seit: 21.08.2005 Beiträge: 4682 PHP-Kenntnisse: Fortgeschritten

04.05.2008, 23:18
Manko10 Supermoderator HD Registriert seit: 16.03.2008 Beiträge: 8.425 PHP-Kenntnisse: Fortgeschritten	Oje, das ist ein sehr weit gefächertes Thema. Ich denke mal, dass man dazu ganze Foren vollschreiben könnte. An dieser Stelle empfehle ich dir einfach mal ein Buch darüber und hoffe, dass das nicht als Werbung gewertet wird. dpunkt.verlag \| Bücher

04.05.2008, 23:24
robydog Erfahrener Benutzer Registriert seit: 02.03.2008 Beiträge: 351	Ob das Thema nun lang oder Kurz ist ich denke das wichtigste könnte hier doch zusammengetragen werden so dass gerade wir Anfänger von Anfang an die wichtigsten Sachen mit einbauen können. Mir gehts gerade so dass ich ein script komplett fertig gebaut habe und nun werde ich wohl einiges abändern müssen

05.05.2008, 01:16
phpler Benutzer Registriert seit: 07.11.2007 Beiträge: 45	Grundsätzlich gilt: alles, was als Eingabe kommt, ist Schadcode, bis das Gegenteil angenommen werden kann ALLE zu verarbeitenden Variablen prüfen bereits geprüfte Variablen müssen nach einem Include (o.ä.) erneut geprüft werden, wenn sie dort verwendet werden direkte Verwendung von durch $_GET und Konsorten übergebenen Variablen immer vermeiden, also NICHT einfach: PHP-Code: `include($_GET['includefile']);`

05.05.2008, 01:25
Schneemann Neuer Benutzer Registriert seit: 03.05.2008 Beiträge: 2	Mit dem folgenden kleinen Script am Anfang deiner Datei stellst du sehr gute "Säuberer" zur Verfügung. PHP-Code: `function array_htmlentities( &$var ) { if( is_string( $var ) ) { $var = htmlentities( strip_tags( $var ) ); } else { if( is_array( $var ) ) { foreach( $var as $key => $value ) array_htmlentities( $var[$key] ); } } }` Dort wo du die Funktion brauchst kannst du sie dann aufrufen. Bsp.: PHP-Code: `array_htmlentities($_GET)` Wenn du natürlich auch Quellcode oder formatierte Texte durchlassen willst brauchst du weitreichendere Prüfungsfunktionen.

05.05.2008, 10:47
litterauspirna Erfahrener Benutzer Registriert seit: 24.04.2008 Beiträge: 3.072 PHP-Kenntnisse: Anfänger	Hallo also generell gilt alles was jemand schreibt oder einträgt ist alles nicht vertrauenswürdig zu sehen und genereller Schadfaktor! Zum Beispiel bei Sachen wie $_POST,$_COOCKIE,$_GET,$_SESSION,$_REQUEST,$_FILES also alles was unter register globals zählt. mysql_real_escape_string reicht schon völlig zu um sich vor SQL Injektions zu schützen. Als weitere Sicherheitsmasnahme um z.B. bösen Links vor zu beugen sollte man auf jede Variable egal ob das eine zahl oder ein string ist (auch zahlen können strings sein) sollte man ein regex zum Beispiel mit preg_match machen,da ist eigentlich alles mit getan. Denn da lässt man nur die gewünschten Zeichen zu,alles andere wird als Fehler gewertet! Man muss natürlich auch darauf achten sich vor Client Seitigen _Angriffen zu schützen z.B. bei einem action Atribut im Formular. Das mache ich zum Beispiel so! PHP-Code: `<form action="<?php echo htmlentities($_SERVER['ÜPHP_SELF']) ?>" method="post">` Da lässt sich z.B. ein Javascript nicht mehr drauf ausführen da html tags gefiltert werden! mfg der litter __________________ Aus dem Dynamo Lande kommen wir. Trinken immer reichlich kühles Bier. Und dann sind wir alle voll, die Stimmung ist so toll. Aus dem Dynamo Lande kommen wir. http://www.lit-web.de

05.05.2008, 11:15
David Erfahrener Benutzer Registriert seit: 05.09.2007 Beiträge: 5.044	Ein mE sehr wichtiger Aspekt sind die verwendeten Paradigmen. Man muss sich klar machen, was jede Entscheidung für Konsequenzen hat. Zum Beispiel: Ich entscheide mich dafür, für die Datenbankanbindung mysql_connect, mysql_query usw. zu verwenden. Damit habe ich mindestens drei Entscheidungen getroffen. Die offensichtlichste: Die Bindung an MySQL. Ich kann mich mit mysql_connect nicht zu einem PostgreSQL Server verbinden. MySQL spezifische Datentypen und Funktionen zu verwenden, steigt damit gerade im Kurs. Ich kann das Datenbanksystem schwerer auswechseln. Dafür kann ich auf mehr Funktionalität zurückgreifen und eventuell schnellere Lösungen entwickeln. Standard-SQL deckt eben nicht alles mögliche ab und Datenbank-Abstraktionen können mit einem mal (scheinbar grundlos) langsam werden, weil man irgendetwas abstrakt so abgebildet hat, dass es konkret schlecht umgesetzt wird. Es werden SQL Statements wie INSERT INTO tablename (a,b,) VALUES ('x','y') verwendet. Sprachelemente (der Sprache SQL) werden mit den Daten vermischt. Daher rührt die Anfälligkeit für injections. Damit es sicher bleibt, muss man konsequent die Daten kontrollieren, in diesem Fall mit mysql_real_escape_string. Vergisst das irgendwo jemand, hat man eine Lücke. Dafür ist es leicht zu schreiben und jemand, der in SQL versiert ist, kann das Statement in jeder Sprache verstehen. Außerdem brauche ich nur ein kleines Set an speziellen Funktionen, der Rest ist String-Manipulation Prozedurale/Imperative Programmierung. Ich muss nach jedem Funktionsaufruf den Rückgabewert prüfen und auf Fehler reagieren und sie (weiter-)propagieren. Tue ich das an irgendeiner Stelle nicht, geht Fehlerinformationen verloren. Wenn irgendeine der Konsequenzen Probleme macht, muss man bis zum Grund nach oben gehen, eine neue Lösung finden und die Konsequenzen wieder nach unten durchdenken. Insbesondere das Zusammenwürfeln von irgendwelchen Codestücke aus Foren ist ein ziemlich sicherer Weg, ein schlechtes Gesamtwerk zu erzeugen.

05.05.2008, 13:51
litterauspirna Erfahrener Benutzer Registriert seit: 24.04.2008 Beiträge: 3.072 PHP-Kenntnisse: Anfänger	Häh? Was willst du mir grad damit sagen? Übrigens auch die id kann man mit einem regex bearbetien und damit sicher stellen das id auch nur eine Zahl ist! Da brauche ich nicht unbedingt mysql_real_escape_string! Das hier reicht völlig aus! PHP-Code: `<?php if(isset($_GET['id'])) { $id = preg_replace ("/[^0-9]/", '', $_GET['id']); } ?>` Damit stellst du sicher das id nichts anderes als eine Zahl ist! Wenn du die id über ein hidden feld weiter verwendest dann natürlich macht mysql_real_escape_string denn dann gilt ja wieder jedes Formular Element bzw. was über ein Formular kommt ist als nicht vertrauenswürdig einzustufen! __________________ Aus dem Dynamo Lande kommen wir. Trinken immer reichlich kühles Bier. Und dann sind wir alle voll, die Stimmung ist so toll. Aus dem Dynamo Lande kommen wir. http://www.lit-web.de Geändert von litterauspirna (05.05.2008 um 13:55 Uhr).