PHP Sicherheit

halskrause · 13.12.2008, 14:05

Hi.
Ich habe einige PHP Scripts für Auftragseingänge geschrieben, was auch wunderbar klappt.
Wie kann es machen, dass das Script nur von einer vorher festgelgten IP gestartet werden kann?

13.12.2008, 14:11

Hey halskrause!
das skript könnte so aussehen:

PHP-Code:

  //IP Adresse ermitteln

$ip = $_SERVER["REMOTE_ADDR"];

 
//IP vergleichen

if($ip=="92.102.87.140")

{

  //eigentlicher code....

}

else {

  echo "Sie sind nicht berechtigt dieses Skript auszuführen.";

}

liebe grüße

phyton

McSodbrenner · 13.12.2008, 14:13

Hi,

$_SERVER['REMOTE_ADDR'] abfragen. Dort steht die IP des Clients drin. Die Abfrage packst du an den Anfang deines Scripts. Wenn du dann einen unerlaubten Zugriff hast, beendest du das Script einfach mit einem die()

Gruß,
Christoph

halskrause · 13.12.2008, 14:18

Danke.
Macht es eigentlich Sinn, wenn ich zusätzlich noch einen Passwort verlange, dass der Scriptausführer mit per "Post" oder "Get" schicken soll?
Das könnte man ja auch abfragen...

Oder ist die "IP Sache" sicher genug?

13.12.2008, 14:25

auf jeden fall wäre mit passwort abfrage noch besser. allerdings hätte ich das passwort dann mit sessions und post weitergegeben und anschließend überprüfen lassen.

lg
phyton

BlackWolf · 13.12.2008, 14:27

Sollte eigentlich sicher genug sein, da REMOTE_ADDR soweit ich weiß nicht fälschbar ist.

Schaden wird eine Passwortabfrage aber mit Sicherhheit nicht. Wenn dann aber über POST, sonst speichert dir der Browser mal eben fröhlich den eingegebenen Wert als besuchte Seite

mfg

13.12.2008, 14:29

blackwolf, denk daran, dass man mit einem proxy-server auch die ip adresse ändert. probiers einfach mal auf und lass dir dann mal deine REMOTE_ADDR ausgeben. du wirst sehen, dass sie dann anders ist.

Sirke · 13.12.2008, 14:41

Die IP ist heutzutage kaum noch sicher, da diese nur anhand der TCP/IP Pakete bestimmt wird und daher wäre ein IP-Spoofing Angriff sehr gut möglich!

Daher wäre eine IP in Zusammenhang mit einem Request sicherlich die beste Variante, sofern man auf SSL mit gegenseitiger Authentifikation verzichten muss!

13.12.2008, 14:44

meine rede! :P

halskrause · 13.12.2008, 16:25

Danke für die nützlichen Tips.

Muss ich mir eigentlich Sorgen darüber machen, dass irgendjemand den Script runterladen kann? Denn dann wäre ja die Sicherheit für die Katz. Da sind ja Passwörter usw... alles drin.

Gibt es vielleicht eine "Checkliste", die dieses Thema behandelt. Oder Tips und Tricks, wie man PHP Sachen sicherer machen kann?

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Thema bewerten
Thema bewerten:

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
Sessions und die Sicherheit. Verständnisfrage.	litterauspirna	PHP Tipps 2008	7	30.10.2008 09:39
sicherheit	SteiniKeule	PHP Tipps 2008	9	20.10.2008 06:48
[Erledigt] Sessions und Sicherheit	Wolla	PHP Tipps 2008	16	01.08.2008 19:33
Sicherheit in PHP	robydog	PHP Tipps 2008	52	10.05.2008 13:09
externe MySQL und Sicherheit	sportyflo	Datenbanken	2	22.02.2008 11:09
FON und die WiFi Ads - Bald mehr Sicherheit		PHP Tipps 2007	0	03.08.2007 12:06
PHP Sicherheit	Plague	PHP Tipps 2007	13	26.04.2007 16:24
PHP Sicherheit	phpdummi	PHP Tipps 2006	1	27.09.2006 23:31
Erfahrung mit Sessions ( Sicherheit )	GELight	PHP Tipps 2006	6	11.08.2006 17:55
Sicherheit....	renzo	PHP Tipps 2005-2	1	27.06.2005 15:53
Sicherheit von Klartext-Passwörtern		PHP Tipps 2005	14	30.03.2005 15:22
[Erledigt] Thema Sicherheit?		PHP-Fortgeschrittene	5	05.11.2004 05:43
Sicherheit bei Wertübergaben		PHP Tipps 2004	3	14.10.2004 18:06
Apache öffentlich machen. Sicherheit?		Server, Hosting und Workstations	3	07.07.2004 03:20
Sicherheit bei URL-Übergabe	pcschröda	PHP-Fortgeschrittene	25	28.06.2004 16:44

13.12.2008, 14:05
halskrause Erfahrener Benutzer Registriert seit: 29.08.2008 Beiträge: 777	PHP Sicherheit Hi. Ich habe einige PHP Scripts für Auftragseingänge geschrieben, was auch wunderbar klappt. Wie kann es machen, dass das Script nur von einer vorher festgelgten IP gestartet werden kann?


Mister Ad PHP Code Flüsterer Registriert seit: 21.08.2005 Beiträge: 4682 PHP-Kenntnisse: Fortgeschritten

13.12.2008, 14:11
phyton Gast Beiträge: n/a	Hey halskrause! das skript könnte so aussehen: PHP-Code: `//IP Adresse ermitteln $ip = $_SERVER["REMOTE_ADDR"]; //IP vergleichen if($ip=="92.102.87.140") { //eigentlicher code.... } else { echo "Sie sind nicht berechtigt dieses Skript auszuführen."; }` liebe grüße phyton

13.12.2008, 14:13
McSodbrenner Erfahrener Benutzer Registriert seit: 28.11.2008 Beiträge: 160 PHP-Kenntnisse: Fortgeschritten	Hi, $_SERVER['REMOTE_ADDR'] abfragen. Dort steht die IP des Clients drin. Die Abfrage packst du an den Anfang deines Scripts. Wenn du dann einen unerlaubten Zugriff hast, beendest du das Script einfach mit einem die() Gruß, Christoph __________________ http://mcsodbrenner.blogspot.com/ Serpent PHP Template Engine: http://code.google.com/p/serpent-php-template-engine/

13.12.2008, 14:18
halskrause Erfahrener Benutzer Registriert seit: 29.08.2008 Beiträge: 777	Danke. Macht es eigentlich Sinn, wenn ich zusätzlich noch einen Passwort verlange, dass der Scriptausführer mit per "Post" oder "Get" schicken soll? Das könnte man ja auch abfragen... Oder ist die "IP Sache" sicher genug?

13.12.2008, 14:25
phyton Gast Beiträge: n/a	auf jeden fall wäre mit passwort abfrage noch besser. allerdings hätte ich das passwort dann mit sessions und post weitergegeben und anschließend überprüfen lassen. lg phyton

13.12.2008, 14:27
BlackWolf Erfahrener Benutzer Registriert seit: 19.03.2007 Beiträge: 176	Sollte eigentlich sicher genug sein, da REMOTE_ADDR soweit ich weiß nicht fälschbar ist. Schaden wird eine Passwortabfrage aber mit Sicherhheit nicht. Wenn dann aber über POST, sonst speichert dir der Browser mal eben fröhlich den eingegebenen Wert als besuchte Seite mfg

13.12.2008, 14:29
phyton Gast Beiträge: n/a	blackwolf, denk daran, dass man mit einem proxy-server auch die ip adresse ändert. probiers einfach mal auf und lass dir dann mal deine REMOTE_ADDR ausgeben. du wirst sehen, dass sie dann anders ist.

13.12.2008, 14:41
Sirke Erfahrener Benutzer Registriert seit: 04.07.2003 Beiträge: 359 PHP-Kenntnisse: Fortgeschritten	Die IP ist heutzutage kaum noch sicher, da diese nur anhand der TCP/IP Pakete bestimmt wird und daher wäre ein IP-Spoofing Angriff sehr gut möglich! Daher wäre eine IP in Zusammenhang mit einem Request sicherlich die beste Variante, sofern man auf SSL mit gegenseitiger Authentifikation verzichten muss!

13.12.2008, 16:25
halskrause Erfahrener Benutzer Registriert seit: 29.08.2008 Beiträge: 777	Danke für die nützlichen Tips. Muss ich mir eigentlich Sorgen darüber machen, dass irgendjemand den Script runterladen kann? Denn dann wäre ja die Sicherheit für die Katz. Da sind ja Passwörter usw... alles drin. Gibt es vielleicht eine "Checkliste", die dieses Thema behandelt. Oder Tips und Tricks, wie man PHP Sachen sicherer machen kann?