Ankündigung

Einklappen
Keine Ankündigung bisher.

PHP: Sicherheit gegen Hacker

Einklappen

Neue Werbung 2019

Einklappen
X
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

  • PHP: Sicherheit gegen Hacker

    Hallo, Grüße.

    Welche Regeln, Mechanismen und Konvertierungen sollte man anwenden, um Sicherheitsrisiken und Spameinträge bei Web-Formularen mit Abfragen, oder generell Websites, zu minimieren?

    Dies ist eine allgemeine Anfrage, aber sie betrifft jeden, der mit PHP-Code Sicherheitsrisiken und Spam-Einträge zu minimieren hat.

    Auch weiterleitende Links sind sehr willkommen (Code ebenfalls).

    Vielen Dank.

    Sven
    sigpic
    Vielen Dank für Eure Zeit, Absicht, Mühe und für Eure Ideen. Grüße,
    Sven

  • #2
    fehlermeldungen vermeiden...
    bei seiten die post und get daten brauchen sollte man ausprobiern, was passiert wenn man z.b. die get-paramter daten einfach weglässt.
    oft gibt es dann fehlermeldungen wenn diese daten in eine datenbank eintragen will.

    die formulareingaben sollte man überprüfen:
    z.b. bei gästebücher usw sollte man html "deaktivieren", damit man nicht über js irgendwas auf die seite schläusen kann...

    achja: wegen spam: ip-blocker einbauen

    Kommentar


    • #3
      Kennst Du fertige Scripts, die viele Spam-Phrasen enthalten, oder selbstständig Variationen von Spam-Phrasen erstellen (um sie gleich mitzukontrollieren)?
      sigpic
      Vielen Dank für Eure Zeit, Absicht, Mühe und für Eure Ideen. Grüße,
      Sven

      Kommentar


      • #4
        "fehlermeldungen vermeiden" ja nee voll der krasse h4X0r schutz.

        1. Trau nie dem Client
        2. register_globals = off.
        3. Alle extern gesetzten Vars für Queries escapen.
        4. index.php?include= seite.php = sein lassen.
        5. Passwörter haben nichts unterhalb des document root zu suchen.

        die Liste lässt sich noch beliebig fortsetzen
        Diese Erweiterung ist EXPERIMENTELL.
        [...]
        Seien Sie gewarnt und verwenden Sie diese Erweiterung auf eigenes Risiko..

        Kommentar


        • #5
          @andy...
          ^^... ich mein des mit fehlermeldungen vermeiden, so dass man den get und post kram überprüft... z.b. bei deinem fall 4 das include^^
          wie stellt man des register_globals auf off?

          @SvenLittkowski
          nicht direkt... musste googln

          Kommentar


          • #6
            php.ini
            ini_set() ist logischerweise nicht.
            Diese Erweiterung ist EXPERIMENTELL.
            [...]
            Seien Sie gewarnt und verwenden Sie diese Erweiterung auf eigenes Risiko..

            Kommentar


            • #7
              Yip. Danke jedenfalls.
              sigpic
              Vielen Dank für Eure Zeit, Absicht, Mühe und für Eure Ideen. Grüße,
              Sven

              Kommentar


              • #8
                ok des kann ich nicht verändern, weil ich bei funpic bin und da die einstellungen fest sind

                Kommentar


                • #9
                  Möglicherweise kannst du register_globals über eine .htaccess-Datei deaktivieren:
                  Code:
                  php_flag register_globals 0

                  Kommentar


                  • #10
                    Schau mal hier rein:
                    http://forum.developers-guide.net/showthread.php?t=688
                    [b][url=http://www.benjamin-klaile.de]privater Blog[/url][/b]

                    Kommentar


                    • #11
                      Ben und alle anderen Helfer:

                      Vielen Dank, Ihr alle habt mir sehr geholfen. Ein Extra-Lob an Ben, dessen Link (#68 genau das ist, wonach ich gesucht hatte!

                      Vielen Dank an alle, dieses Thema kann hiermit geschlossen werden.

                      Sven
                      sigpic
                      Vielen Dank für Eure Zeit, Absicht, Mühe und für Eure Ideen. Grüße,
                      Sven

                      Kommentar


                      • #12
                        Gut das der Beitrag da noch existiert, hatte schon befürchtet er wäre mit inphpfriend.de gelöscht worden...
                        Diese Erweiterung ist EXPERIMENTELL.
                        [...]
                        Seien Sie gewarnt und verwenden Sie diese Erweiterung auf eigenes Risiko..

                        Kommentar


                        • #13
                          Zitat von andy
                          Gut das der Beitrag da noch existiert, hatte schon befürchtet er wäre mit inphpfriend.de gelöscht worden...
                          Nie. Dazu sind die Ausführungen von Corvin einfach zu gut. Er hat sie, mit anderen Tutorials, bei developers-guide.net zur Verfügung gestellt.

                          Grüße Ben.
                          [b][url=http://www.benjamin-klaile.de]privater Blog[/url][/b]

                          Kommentar


                          • #14
                            Da hab ich mal ne Frage zu:

                            El Barto hatte dort geschrieben (Punkt 4 sind die SQL-Injections):
                            Bei Punkt 4 sollte man doch besser folgende Funtion verwenden:

                            mysql_real_escape_string()
                            stimmt das oder besser die genannte Methode indem Thread per addslasches?
                            Gewisse Dinge behält man besser für sich, z.B. das man gewisse Dinge für sich behält.

                            Kommentar


                            • #15
                              Das kommt drauf an, wofür du den String verwenden willst. Für einen Mysql-Query? Dann die Mysql-Funktion, denn niemand kennt sich besser mit Mysql aus als sie

                              Kommentar

                              Lädt...
                              X