SteiniKeule

Hallo

Ich habe mit der suche nicht das gefunden was ich gesucht habe.

Ich bin auf der suche nach Anleitungen oder infos was man bei Formularen / eingabefeldern / login beachten muss.
Genauer:
Ich möchte einen Login machen der wirklich sicher ist. weis aber nicht auf was man da alles genau achten muss (wie speichere ich passwörter am besten in der DB usw...)
Was muss ich bei formularen beachten? gibt es da schwachstellen die man ausnutzen kann?
Was mache ich mit eingaben (zahlen , namen, texte usw..) von usern. wie muss ich die "verarbeiten" damit die keinen schaden anrichten können? wie include ich datein sicher? was hat es mit der endung .inc auf sich? muss ich ordner (in denen sich die phpdatein befinden) irgendwie sichern? oder was muss man bei ordnern sonst noch beachten?

Wie ihr merkt bin ich ein ziemlicher noob auf dem thema sicherheit. möchte das aber ändern und frage / bitte nun euch profis nach hilfe. bitte bitte helft mir.

LG
SteiniKeule

PS: danke nikosch... ich weis dass von dir mit sicherheit eine antwort kommt.

Mister Ad

Manko10

Hallo SteiniKeule,
ich kann mir ehrlich gesagt, nicht vorstellen, dass du nichts gefunden hast. Im Forum hatten wir das Thema schon oft genug: php.de - Suchergebnisse und auch bei Google findest du eine Menge: php sicherheit - Google-Suche
Ansonsten kann ich dir noch dieses Buch wärmstens empfehlen: dpunkt.verlag | Bücher

__________________
Refining Linux Advent Calendar series “24 Outstanding ZSH Gems”

SteiniKeule

Danke.

kannst du mir vll noch ein paar der fragen beantworten?

Manko10

Nicht, wenn du sie nicht stellst. Wozu die Frage?

__________________
Refining Linux Advent Calendar series “24 Outstanding ZSH Gems”

PTC

(SQL Injection: SQL-Injection – Wikipedia )
XSS: Cross Site Scripting - PHP.de Wiki

Passwörter verschlüsselt speichern, bei Login eingegebenes Passwort auf diesselbe Weise verschlüsseln und miteinander vergleichen.

*.inc.php ist eine gängige Endung, für Dateien die includiert werden.

Du musst den Ordner mit Dateien nicht sichern, es sei denn man soll sie nicht über den Server erreichen.
Erklärung: PHP-Dateien werden vor dem Versand an den Client geparsed und nur die verarbeiteten Anweisung werden gesendet.
Was ist PHP - PHP.de Wiki

Ich dachte auch wir hätten das Thema schon groß durchgenommen, konnte es aber nicht finden.

SteiniKeule

danke genau diese fragen meinte ich.

kannst du vll noch etwas genauer auf das inc. eingehen?

warum macht man das? was hat das für vor / nachteile?

PTC

Nachteile sehe ich persönlich nicht.
Vorteile sind, dass ich sofort in Projekten welche Dateien ein Grundkonstrukt(als Beisp.) bilden und welche eingebunden werden in diese Hauptdateien.

*.php <-- include(*.inc.php);

Manko10

Letztendlich ist es egal, wie du deine Dateien benennst. Hauptsache ist, dass du konsequent bist und die Namen selbstklärend sind. Es hat keinen Sinn, eine Datei, die mit SQL-Code angefüllt ist, controller.inc.php zu nennen. Ebenso ist es sinnlos, eine Klassen-Datei mit functions.inc.php zu bennen.

__________________
Refining Linux Advent Calendar series “24 Outstanding ZSH Gems”

moveax1

Was noch zu beachten ist sind Local oder Remote File Inclusions.

Bitte achte darauf wenn du zb über die index.php über $_GET Parameter Dateien einbindest, das du _niemals_ einfach Dateinamen übergibst

Falsch

Stell dir einfach vor was passiert wenn jemand folgendes angibt:

unter widrigen umständen ist es möglich das obiger Code dem Server die /etc/passwd entlockt

Besser ist ein switch / case oder eine If Verzweigung in der du über ID's die zu includierenden Seiten ermittelst.

gruss
moveax

nikosch

Hier noch ein paar Ansätze zur Eingabevalidierung.

__________________
--
One pixel is still too big. Please make it smaller. ASAP.

Initiative Mittelstand.
Die wichtigste Gestaltungsregel im Screendesign ist Pi mal Daumen des Arbeitgebers.
--