| | | | |
13.07.2010, 18:22
| |
| Neuer Benutzer Registriert seit: 27.06.2010
Beiträge: 14
PHP-Kenntnisse: Anfänger  |  Sicherheit - Formulardaten entgegennehmen Hi, Wenn ich Daten aus einem Formular entgegennehme muss ich ja damit rechnen das jemand versucht mich anzugreifen. Zur Zeit prüfe ich 1. ob die Variable vorhanden ist 2. ob der Datentyp dem Erwarteten entspricht Ich habe begonnen mir eine kleine Bibliothek zu schreiben die diese Aufgaben (fast komplett) automatisch übernimmt. Ich schätze der nächste Schritt wäre die Länge zu überprüfen, und anschließend zur Sicherheit fremden Code herauszufiltern. Ich bin mir nicht sicher welches da der beste Weg wäre.. Ist das so praktikabel oder mach ich mir da zuviel Aufwand? Wie weit sichert ihr eure Scripte ab? Gibt es (kleine) OpenSource-Bibliotheken speziell für den Bereich die ihr empfehlen könnt? |
|
 | |
| PHP Code Flüsterer Registriert seit: 21.08.2005 Beiträge: 4682 PHP-Kenntnisse: Fortgeschritten | |
|
13.07.2010, 19:02
| |
| Erfahrener Benutzer Registriert seit: 05.02.2009
Beiträge: 1.401
PHP-Kenntnisse: Fortgeschritten | Das kommt doch ganz auf den Anwendungszweck an!
__________________ "Dummheit redet viel..Klugheit denkt und schweigt.." [Amgervinus] |
|
|
|
13.07.2010, 19:55
| |
| Neuer Benutzer Registriert seit: 27.06.2010
Beiträge: 14
PHP-Kenntnisse: Anfänger | Aber man wird doch nicht jedes mal alles neu schreiben, oder? Die Bibliothek die ich schreibe verwendet zur Zeit noch Konstanten um auf eine bestimmte Art von Variable zu testen. In Zukunft werd ich das wohl mit Flags lösen, weil sich die Aufgaben ja doch überschneiden: Also als Argument dann beispielsweise: PHP-Code: So weit bin ich aber noch nicht. Vielleicht hat auch jemand nen Tipp zu ner Beschreibung welche die Sicherheitsfragen etwas tiefgründiger erklärt, speziell was übergebene Daten angeht? |
|
|
|
13.07.2010, 20:13
| |
| Erfahrener Benutzer Registriert seit: 05.02.2009
Beiträge: 1.401
PHP-Kenntnisse: Fortgeschritten | Wie gesagt... kommt auf den Anwendungszweck an... ggf. htmlspecialchars mysql_real_escape_string strlen filter_var preg_match strstr strpos um nur ein paar zu nennen. cu Grüße Destruction
__________________ "Dummheit redet viel..Klugheit denkt und schweigt.." [Amgervinus] |
|
|
|
13.07.2010, 20:27
| |
| Moderator¹ Registriert seit: 28.03.2010
Beiträge: 7.470
PHP-Kenntnisse: Fortgeschritten  | „Sicherheit ist kein Zustand, sondern ein Prozess.“ Ich weiß nicht mehr, wo das Zitat her stammt - aber es stimmt jedenfalls. Im Bereich der Webanwendungen sind die häufigsten Sicherheitslücken immer noch das Resultat nicht beachteter Kontextwechsel - also Artikel:Kontextwechsel – SELFHTML mal lesen, danach sollte schon einiges klar(er) sein. Von irgendwelchen Eierlegenden Wollmilchsäuen in Sachen Sicherheit ist m.E. Abstand zu halten. Irgendwelche „sanitize“-Funktionen, die am Scriptanfang aufgerufen werden, und dann von einem halbseitigen Eingabtext nur noch drei Buchstaben „xyz“ übrig lassen, weil ihnen nur die „ungefährlich“ erscheinen - sowas ist Bullshit. Und wenn der Rest spitze Klammern, Anführungszeichen, sonstwas waren - dann werden die eben entsprechend behandelt, dass sie auch als solche Zeichen dargestellt werden, und gut is'. Wenn du dir angewöhnst, dir immer klar zu machen, in welchen neuen Kontext Daten gerade gebracht werden sollen, und sie auch (erst) an dieser Stelle im Script entsprechend behandelst - dann bist du schon ein sehr gutes Stück weit auf der „sicheren Seite“.
__________________ RGB is totally confusing - I mean, at least #C0FFEE should be brown, right? |
|
|
|
14.07.2010, 20:30
| |
| moderatives Dielektrikum  Registriert seit: 21.05.2008
Beiträge: 35.990
PHP-Kenntnisse: Fortgeschritten |
__________________ -- One pixel is still too big. Please make it smaller. ASAP. Initiative Mittelstand. Die wichtigste Gestaltungsregel im Screendesign ist Pi mal Daumen des Arbeitgebers. -- |
|
|
| Themen-Optionen | |
| Thema bewerten | |
|
|
Ähnliche Themen | ||||
| Thema | Autor | Forum | Antworten | Letzter Beitrag |
| Formularverarbeitung, Sicherheit | nikosch | Wiki Diskussionsforum | 5 | 14.07.2010 13:01 |
| [Erledigt] Wie hoch ist das Interesse an Sicherheit? | Sirke | PHP Tipps 2010 | 7 | 26.02.2010 19:22 |
| [Erledigt] PHP Formmailer Formulardaten als Email in HTML Tabelle | delirium | PHP Tipps 2009 | 4 | 09.10.2009 11:57 |
| [Erledigt] TinyMCE != Sicherheit? | Squall | PHP Tipps 2009 | 5 | 04.07.2009 14:42 |
| Sicherheit | Maaax | PHP Tipps 2009 | 4 | 25.06.2009 00:28 |
| BACKLINK CHECK und SICHERHEIT von zentraler CSV-Datei | ff-webdesigner.de | PHP-Fortgeschrittene | 16 | 27.11.2008 20:25 |
| Sessions und die Sicherheit. Verständnisfrage. | litterauspirna | PHP Tipps 2008 | 7 | 30.10.2008 09:39 |
| sicherheit | SteiniKeule | PHP Tipps 2008 | 9 | 20.10.2008 06:48 |
| [Erledigt] Sessions und Sicherheit | Wolla | PHP Tipps 2008 | 16 | 01.08.2008 19:33 |
| Formulardaten senden funktioniert nicht | blacksektor | PHP Tipps 2008 | 5 | 25.05.2008 20:42 |
| Sicherheit in PHP | robydog | PHP Tipps 2008 | 52 | 10.05.2008 13:09 |
| Erfahrung mit Sessions ( Sicherheit ) | GELight | PHP Tipps 2006 | 6 | 11.08.2006 17:55 |
| Formulardaten bei "zurück" nicht verlieren | ruferp | PHP Tipps 2006 | 11 | 21.04.2006 15:22 |
| Sicherheit.... | renzo | PHP Tipps 2005-2 | 1 | 27.06.2005 15:53 |
| formulardaten ohne button senden | janni | PHP Tipps 2005 | 3 | 05.05.2005 13:29 |
