Guten Tag allerseits,
ich habe mal ne kleine Liste zum Thema php Security zusammengestellt und wollte fragen, was da noch so fehlt. Da es verschiedene Bereiche abdeckt habe ich das Ganze mal hier in das Fortgeschrittenen Forum gestellt, da es zu den Themen bestimmt auch vertiefende Diskussionen/Ratschläge geben kann:
__________________________________________________ ______________
> Datenbanken
-> Innerhalb der Applikation nie als Admin mit der db verbinden, sondern als User mit eingeschränkten Rechten, die nur auf das zugeschnitten sind, was benötigt wird für die Abfrage/n
-> Verbindung zur db über ssl / ssh
-> Alle Daten verschlüsseln?
Habe das aus dem Manual, ich weiß nun nicht genau wie das gemeint ist. Dass man ein Passwort, oder eine Geheimfrageantwort verschlüsselt abspeichert ist klar. Meinen die damit aber, dass man alle Daten eines Users in der Datenbank hashen/verschlüsseln und salten sollte?
-> Prepared statements gegen sql Injection (pdo am besten nutzen)
-> Protokollierung und Logging von Abfragen
> Fehlerbehandlung
-> Ausgabe von Fehlermeldungen deaktivieren:
error_reporting und display errors ausschalten
Weitere Dinge abschalten
-> register globals
-> magic quotes
-> ServerSignature
-> expose_php
Sprache verstecken
-> per .htaccess auf andere Endung umleiten
-> vor session_start session_name aufrufen und Namen der Sessid ändern
Weiteres:
-> chrooted jails ?
__________________________________________________ ______________
Weitere wichtige Dinge (Siehe Top10 von OWASP: OWASP Security)
> Sessions
> Xss
> Object references
> Security misconfigurations
> Sensitive data
> Access Control
> CSRF
> Components vulnerabilities
> non-validated redirects.
Die Details dazu kann man auf dem oben genannten Link nachlesen
__________________________________________________ ______________
Soweit mal meine kleine Sammlung, ich bitte euch mir mitzuteilen was da noch fehlen könnte, was unnötig ist etc. Einfach ein kleiner Sammelthread über php application security.
__________________________________________________ ______________
Alle meine Informationen sind aus dem php manual: PHP manual security
Regards,
Sakron
ich habe mal ne kleine Liste zum Thema php Security zusammengestellt und wollte fragen, was da noch so fehlt. Da es verschiedene Bereiche abdeckt habe ich das Ganze mal hier in das Fortgeschrittenen Forum gestellt, da es zu den Themen bestimmt auch vertiefende Diskussionen/Ratschläge geben kann:
__________________________________________________ ______________
> Datenbanken
-> Innerhalb der Applikation nie als Admin mit der db verbinden, sondern als User mit eingeschränkten Rechten, die nur auf das zugeschnitten sind, was benötigt wird für die Abfrage/n
-> Verbindung zur db über ssl / ssh
-> Alle Daten verschlüsseln?
Habe das aus dem Manual, ich weiß nun nicht genau wie das gemeint ist. Dass man ein Passwort, oder eine Geheimfrageantwort verschlüsselt abspeichert ist klar. Meinen die damit aber, dass man alle Daten eines Users in der Datenbank hashen/verschlüsseln und salten sollte?
-> Prepared statements gegen sql Injection (pdo am besten nutzen)
-> Protokollierung und Logging von Abfragen
> Fehlerbehandlung
-> Ausgabe von Fehlermeldungen deaktivieren:
error_reporting und display errors ausschalten
Weitere Dinge abschalten
-> register globals
-> magic quotes
-> ServerSignature
-> expose_php
Sprache verstecken
-> per .htaccess auf andere Endung umleiten
-> vor session_start session_name aufrufen und Namen der Sessid ändern
Weiteres:
-> chrooted jails ?
__________________________________________________ ______________
Weitere wichtige Dinge (Siehe Top10 von OWASP: OWASP Security)
> Sessions
> Xss
> Object references
> Security misconfigurations
> Sensitive data
> Access Control
> CSRF
> Components vulnerabilities
> non-validated redirects.
Die Details dazu kann man auf dem oben genannten Link nachlesen
__________________________________________________ ______________
Soweit mal meine kleine Sammlung, ich bitte euch mir mitzuteilen was da noch fehlen könnte, was unnötig ist etc. Einfach ein kleiner Sammelthread über php application security.
__________________________________________________ ______________
Alle meine Informationen sind aus dem php manual: PHP manual security
Regards,
Sakron
Kommentar