[HaBo]

ghost · 10.07.07, 21:09

Auf was muß man achten wenn man eine "sichere" HP ( HTML,PHP,CSS - Hauptseite mit mehreren "Unterseiten" ) erstellt?

Reicht es ein PHP-Login und Sessions einzubaun?

dutchman2006 · 10.07.07, 21:23

Wie meinst du sicher? Was willst du mit der Website machen? Auf welchem Server liegt sie?

Anzeige

- Anzeige -

.smash · 10.07.07, 22:29

Sicherheit ist ein relatives Konzept, und du hast dich wirklich nicht gut Ausgedrückt.

mfg

ghost · 10.07.07, 22:43

Stimmt schon das Sicherheit relativ ist, deshalb hab ich sicher auch in "" gesetzt.

Mir gehts eigentlich darum was ich, als Ersteller einer HP bei der sich Leute einloggen können ( z.B.: in einen gesicherten Bereich einer HP, ein Tool für ein Spiel, usw. ), tun kann um das ganze möglichst sicher ( d.h. das nur angemeldete an die Infos kommen ) zu machen.

Primär gehts mir dabei um "Dinge" ( kA wie ichs grad besser umschreiben soll ) die die HP betreffen und weniger ( intressieren tuts mich natürlich schon aber das erste ist mom wichtiger ) wies beim Server ausschaut.

Wie sicher ist also eine HP mit nem PHP-Login und Sessions? Und wie kann ich sie "sicherer" ( schon wieder

) machen?

Indi · 10.07.07, 22:51

Gibt's einen speziellen Grund, weshalb du nicht den Abschnitt bzgl. Sicherheit in der PHP-Dokumentation liest?

.smash · 10.07.07, 22:53

sollte sofern es sauber ist und die usereingaben geprüft worden sind (um xss, sql inj, ausszuschleissen) kein Problem sein, ne aktuelle php version die ordentlich konfiguriert wurde, web server + apache noch in nen chroot käfig sperren (würd mir jetzt so spontan einfallen^^

mfg

[starfoxx] · 10.07.07, 23:03

Wenn du keine Ahnung hast mach einen htaccess davor, und gibt die Login Daten nur Leuten denen du vertraust.

http://www.javarea.de/index.php3?ope...hnipsel&id=501

menace · 11.07.07, 00:16

Wenn du eine sichere dynamische Seite bauen willst, solltest du am besten kein PHP verwenden. Siehe Stefan Essers Geschichte (http://www.hardened-php.net). Dann musst du halt so programmieren, dass du XSS-Lücken, CSRF, Datenbank-Injection und auf Malformed Input nicht reinfällst (recherche siehe Google oder Wikipedia)

keksinat0r · 11.07.07, 01:28

Naja meiner Meinung gegen PHP ist ja eigentlich nix einzuwenden...
OK in Sachen Sicherheit ist PHP selbst wohl nicht der renner,
aber warum soll man auch alles PHP überlassen?

Wer eine Seite erstellt sollte sich auch über deren Sicherheit gedanken machen
und selbst dafür sorgen,
sprich alle von außen kommenden Werte genauestens prüfen und entsprechend drauf reagieren.

Wer Code wie
"SELECT irgendwas FROM irgendwo WHERE WAS_ANDRES = $_POST[?variable?]"
oder Leichtsinnsfehler wie
echo $$_GET['variable']
in sein Script einbaut
oder gar den Webserevr als root laufen lässt ist selbst schuld...

Ich find man kann seine eigenen Fehler nicht der Sprache in der man programmiert zuschieben...

MFG - Keks

[ EDIT: ]

Für Hoster gibts ja immer noch die Möglichkeit entweder jedem Client einen eigenen Server in einem eigenen chroot zur Verfügung zu stellen
und/oder PHP als CGI Modul laufen zu lassen.
PHP verliert dadurch zwar an Geschwindigkeit, die Sicherheit steigt (wenn man Ahnung davon hat) aber enorm...

menace · 11.07.07, 01:55

Zitat:

Ich find man kann seine eigenen Fehler nicht der Sprache in der man programmiert zuschieben...

PHP selbst hatte im Core auch schon genügend (auch Fahrlässigkeits-)fehler gehabt, dass ich da jedes Vertrauen verloren habe. Siehe auch zum Beispiel http://www.hardened-php.net/suhosin/why.html

olle11 · 22.08.07, 17:56

Naja wenn man genug Tuts zum Thema Sicherheit in PHP gelesen hat, dann geht das eigentlich schon

22.08.07, 18:46

PHP-Code:

  $sQry = "SELECT F_user From tblLogin where F_user ='".md5($_GET['user'])."'and F_pass ='".md5($_GET['pass'])."'";

So liebe ich diese Abfrage... ist bombensicher XD... da an die SQL DB lediglich ein MD5 Hash geschickt wird...

keksinat0r · 23.08.07, 17:55

naja theoretisch reicht es, wenn du alle ' und -- vorher maskierst.
ohne -- kann nicht auskommentiert werden, und ohne ' kein neuer Befehl eingefügt weden

Wobei das ja jetzt SQL-Speziefische sicherheit ist.
Eigentlich geht es ja um die Sicherherheit von PHP selbst

MFG - Keks

Lesco · 23.08.07, 18:25

Es gibt noch ein paar andere Zeichen, auf die man achten sollte. Deshalb würde ich empfehlen, dafür mysql_real_escape_string zu benutzen.

Anzeige

- Anzeige -

10.07.07, 21:09	#1 (permalink)
ghost Registriert seit: 24.07.05 Likes: 3	"sichere HP" erstellen Anzeige Auf was muß man achten wenn man eine "sichere" HP ( HTML,PHP,CSS - Hauptseite mit mehreren "Unterseiten" ) erstellt? Reicht es ein PHP-Login und Sessions einzubaun?

22.08.07, 18:46	#12 (permalink)
IsNull Guest Likes:	PHP-Code: `$sQry = "SELECT F_user From tblLogin where F_user ='".md5($_GET['user'])."'and F_pass ='".md5($_GET['pass'])."'";` So liebe ich diese Abfrage... ist bombensicher XD... da an die SQL DB lediglich ein MD5 Hash geschickt wird...

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
Sichere PHP Anwendung	boehmi	(Web-) Design und webbasierte Sprachen	13	29.05.08 22:20
wie sichere ich outlook2000?	chäkka	Die Problemzone	3	14.12.03 01:48
sichere Passwörter	boppy	News & Ankündigungen	5	06.07.02 11:40
sichere firewall	soox	(In)security allgemein	14	15.03.02 11:05

10.07.07, 21:23	#2 (permalink)
dutchman2006 Registriert seit: 21.04.06 Likes: 1	Wie meinst du sicher? Was willst du mit der Website machen? Auf welchem Server liegt sie?

10.07.07, 22:29	#3 (permalink)
.smash Registriert seit: 14.03.07 Likes: 0	Sicherheit ist ein relatives Konzept, und du hast dich wirklich nicht gut Ausgedrückt. mfg

10.07.07, 22:43	#4 (permalink)
ghost Themenstarter Registriert seit: 24.07.05 Likes: 3	Stimmt schon das Sicherheit relativ ist, deshalb hab ich sicher auch in "" gesetzt. Mir gehts eigentlich darum was ich, als Ersteller einer HP bei der sich Leute einloggen können ( z.B.: in einen gesicherten Bereich einer HP, ein Tool für ein Spiel, usw. ), tun kann um das ganze möglichst sicher ( d.h. das nur angemeldete an die Infos kommen ) zu machen. Primär gehts mir dabei um "Dinge" ( kA wie ichs grad besser umschreiben soll ) die die HP betreffen und weniger ( intressieren tuts mich natürlich schon aber das erste ist mom wichtiger ) wies beim Server ausschaut. Wie sicher ist also eine HP mit nem PHP-Login und Sessions? Und wie kann ich sie "sicherer" ( schon wieder ) machen?

10.07.07, 22:51	#5 (permalink)
Indi Member of Honour Registriert seit: 02.10.01 Likes: 0	Gibt's einen speziellen Grund, weshalb du nicht den Abschnitt bzgl. Sicherheit in der PHP-Dokumentation liest?

10.07.07, 22:53	#6 (permalink)
.smash Registriert seit: 14.03.07 Likes: 0	sollte sofern es sauber ist und die usereingaben geprüft worden sind (um xss, sql inj, ausszuschleissen) kein Problem sein, ne aktuelle php version die ordentlich konfiguriert wurde, web server + apache noch in nen chroot käfig sperren (würd mir jetzt so spontan einfallen^^ mfg

10.07.07, 23:03	#7 (permalink)
[starfoxx] Senior Member Registriert seit: 18.09.05 Likes: 0	Wenn du keine Ahnung hast mach einen htaccess davor, und gibt die Login Daten nur Leuten denen du vertraust. http://www.javarea.de/index.php3?ope...hnipsel&id=501

11.07.07, 00:16	#8 (permalink)
menace Registriert seit: 25.11.05 Likes: 0	Wenn du eine sichere dynamische Seite bauen willst, solltest du am besten kein PHP verwenden. Siehe Stefan Essers Geschichte (http://www.hardened-php.net). Dann musst du halt so programmieren, dass du XSS-Lücken, CSRF, Datenbank-Injection und auf Malformed Input nicht reinfällst (recherche siehe Google oder Wikipedia)

11.07.07, 01:28	#9 (permalink)
keksinat0r Registriert seit: 06.01.07 Likes: 0	Naja meiner Meinung gegen PHP ist ja eigentlich nix einzuwenden... OK in Sachen Sicherheit ist PHP selbst wohl nicht der renner, aber warum soll man auch alles PHP überlassen? Wer eine Seite erstellt sollte sich auch über deren Sicherheit gedanken machen und selbst dafür sorgen, sprich alle von außen kommenden Werte genauestens prüfen und entsprechend drauf reagieren. Wer Code wie "SELECT irgendwas FROM irgendwo WHERE WAS_ANDRES = $_POST[?variable?]" oder Leichtsinnsfehler wie echo $$_GET['variable'] in sein Script einbaut oder gar den Webserevr als root laufen lässt ist selbst schuld... Ich find man kann seine eigenen Fehler nicht der Sprache in der man programmiert zuschieben... MFG - Keks [ EDIT: ] Für Hoster gibts ja immer noch die Möglichkeit entweder jedem Client einen eigenen Server in einem eigenen chroot zur Verfügung zu stellen und/oder PHP als CGI Modul laufen zu lassen. PHP verliert dadurch zwar an Geschwindigkeit, die Sicherheit steigt (wenn man Ahnung davon hat) aber enorm...

22.08.07, 17:56	#11 (permalink)
olle11 Registriert seit: 22.08.07 Likes: 0	Naja wenn man genug Tuts zum Thema Sicherheit in PHP gelesen hat, dann geht das eigentlich schon

23.08.07, 17:55	#13 (permalink)
keksinat0r Registriert seit: 06.01.07 Likes: 0	naja theoretisch reicht es, wenn du alle ' und -- vorher maskierst. ohne -- kann nicht auskommentiert werden, und ohne ' kein neuer Befehl eingefügt weden Wobei das ja jetzt SQL-Speziefische sicherheit ist. Eigentlich geht es ja um die Sicherherheit von PHP selbst MFG - Keks

23.08.07, 18:25	#14 (permalink)
Lesco Senior Member Registriert seit: 03.09.05 Likes: 0	Es gibt noch ein paar andere Zeichen, auf die man achten sollte. Deshalb würde ich empfehlen, dafür mysql_real_escape_string zu benutzen.

[HaBo]

"sichere HP" erstellen