PHP Sicherheit - php.de

X

Dabei seit: Heute

Beiträge:
#1

PHP Sicherheit

13.12.2008, 13:05

Hi.
Ich habe einige PHP Scripts für Auftragseingänge geschrieben, was auch wunderbar klappt.
Wie kann es machen, dass das Script nur von einer vorher festgelgten IP gestartet werden kann?
Stichworte: -
phyton
#2

13.12.2008, 13:11

Hey halskrause!
das skript könnte so aussehen:

PHP-Code:

//IP Adresse ermitteln $ip = $_SERVER["REMOTE_ADDR"]; //IP vergleichen if($ip=="92.102.87.140") { //eigentlicher code.... } else { echo "Sie sind nicht berechtigt dieses Skript auszuführen."; }

liebe grüße

phyton
Kommentar
McSodbrenner

Dabei seit: 28.11.2008

Beiträge: 162
#3

13.12.2008, 13:13

Hi,

$_SERVER['REMOTE_ADDR'] abfragen. Dort steht die IP des Clients drin. Die Abfrage packst du an den Anfang deines Scripts. Wenn du dann einen unerlaubten Zugriff hast, beendest du das Script einfach mit einem die()

Gruß,
Christoph

http://mcsodbrenner.blogspot.com/
Serpent PHP Template Engine: http://code.google.com/p/serpent-php-template-engine/
Kommentar
halskrause
#4

13.12.2008, 13:18

Danke.
Macht es eigentlich Sinn, wenn ich zusätzlich noch einen Passwort verlange, dass der Scriptausführer mit per "Post" oder "Get" schicken soll?
Das könnte man ja auch abfragen...

Oder ist die "IP Sache" sicher genug?
Kommentar
phyton
#5

13.12.2008, 13:25

auf jeden fall wäre mit passwort abfrage noch besser. allerdings hätte ich das passwort dann mit sessions und post weitergegeben und anschließend überprüfen lassen.

lg
phyton
Kommentar
BlackWolf

Dabei seit: 19.03.2007

Beiträge: 176
#6

13.12.2008, 13:27

Sollte eigentlich sicher genug sein, da REMOTE_ADDR soweit ich weiß nicht fälschbar ist.

Schaden wird eine Passwortabfrage aber mit Sicherhheit nicht. Wenn dann aber über POST, sonst speichert dir der Browser mal eben fröhlich den eingegebenen Wert als besuchte Seite

mfg
Kommentar
phyton
#7

13.12.2008, 13:29

blackwolf, denk daran, dass man mit einem proxy-server auch die ip adresse ändert. probiers einfach mal auf und lass dir dann mal deine REMOTE_ADDR ausgeben. du wirst sehen, dass sie dann anders ist.
Kommentar
Sirke

Dabei seit: 04.07.2003

Beiträge: 384
#8

13.12.2008, 13:41

Die IP ist heutzutage kaum noch sicher, da diese nur anhand der TCP/IP Pakete bestimmt wird und daher wäre ein IP-Spoofing Angriff sehr gut möglich!

Daher wäre eine IP in Zusammenhang mit einem Request sicherlich die beste Variante, sofern man auf SSL mit gegenseitiger Authentifikation verzichten muss!
Kommentar
phyton
#9

13.12.2008, 13:44

meine rede! :P
Kommentar
halskrause
#10

13.12.2008, 15:25

Danke für die nützlichen Tips.

Muss ich mir eigentlich Sorgen darüber machen, dass irgendjemand den Script runterladen kann? Denn dann wäre ja die Sicherheit für die Katz. Da sind ja Passwörter usw... alles drin.

Gibt es vielleicht eine "Checkliste", die dieses Thema behandelt. Oder Tips und Tricks, wie man PHP Sachen sicherer machen kann?
Kommentar
dr.e.

Dabei seit: 21.05.2008

Beiträge: 3755
#11

13.12.2008, 15:33

-> PHP-Sicherheit: PHP/MySQL-Webanwendungen sicher programmieren: Christopher Kunz, Stefan Esser: Amazon.de: Bücher

Viele Grüße,
Dr.E.

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
1. Think about software design [B]before[/B] you start to write code!
2. Discuss and review it together with [B]experts[/B]!
3. Choose [B]good[/B] tools (-> [URL="http://adventure-php-framework.org/Seite/088-Why-APF"]Adventure PHP Framework (APF)[/URL][URL="http://adventure-php-framework.org"][/URL])!
4. Write [I][B]clean and reusable[/B][/I] software only!
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Kommentar

Vorherige Weiter

Lädt...

X