![[HaBo]](/styles/default/logoklein.png){kind=small}
"sichere HP" erstellen
- Themenstarter ghost
- Beginndatum
Wie meinst du sicher? Was willst du mit der Website machen? Auf welchem Server liegt sie?
Stimmt schon das Sicherheit relativ ist, deshalb hab ich sicher auch in "" gesetzt.
Mir gehts eigentlich darum was ich, als Ersteller einer HP bei der sich Leute einloggen können ( z.B.: in einen gesicherten Bereich einer HP, ein Tool für ein Spiel, usw. ), tun kann um das ganze möglichst sicher ( d.h. das nur angemeldete an die Infos kommen ) zu machen.
Primär gehts mir dabei um "Dinge" ( kA wie ichs grad besser umschreiben soll ) die die HP betreffen und weniger ( intressieren tuts mich natürlich schon aber das erste ist mom wichtiger ) wies beim Server ausschaut.
Wie sicher ist also eine HP mit nem PHP-Login und Sessions? Und wie kann ich sie "sicherer" ( schon wieder
) machen?
Mir gehts eigentlich darum was ich, als Ersteller einer HP bei der sich Leute einloggen können ( z.B.: in einen gesicherten Bereich einer HP, ein Tool für ein Spiel, usw. ), tun kann um das ganze möglichst sicher ( d.h. das nur angemeldete an die Infos kommen ) zu machen.
Primär gehts mir dabei um "Dinge" ( kA wie ichs grad besser umschreiben soll ) die die HP betreffen und weniger ( intressieren tuts mich natürlich schon aber das erste ist mom wichtiger ) wies beim Server ausschaut.
Wie sicher ist also eine HP mit nem PHP-Login und Sessions? Und wie kann ich sie "sicherer" ( schon wieder
) machen?Wenn du keine Ahnung hast mach einen htaccess davor, und gibt die Login Daten nur Leuten denen du vertraust.
http://www.javarea.de/index.php3?opencat=PHP&subcat=Codeschnipsel&id=501
http://www.javarea.de/index.php3?opencat=PHP&subcat=Codeschnipsel&id=501
Wenn du eine sichere dynamische Seite bauen willst, solltest du am besten kein PHP verwenden. Siehe Stefan Essers Geschichte (http://www.hardened-php.net). Dann musst du halt so programmieren, dass du XSS-Lücken, CSRF, Datenbank-Injection und auf Malformed Input nicht reinfällst (recherche siehe Google oder Wikipedia)
Naja meiner Meinung gegen PHP ist ja eigentlich nix einzuwenden...
OK in Sachen Sicherheit ist PHP selbst wohl nicht der renner,
aber warum soll man auch alles PHP überlassen?
Wer eine Seite erstellt sollte sich auch über deren Sicherheit gedanken machen
und selbst dafür sorgen,
sprich alle von außen kommenden Werte genauestens prüfen und entsprechend drauf reagieren.
Wer Code wie
"SELECT irgendwas FROM irgendwo WHERE WAS_ANDRES = $_POST[?variable?]"
oder Leichtsinnsfehler wie
echo $$_GET['variable']
in sein Script einbaut
oder gar den Webserevr als root laufen lässt ist selbst schuld...
Ich find man kann seine eigenen Fehler nicht der Sprache in der man programmiert zuschieben...
MFG - Keks
[ EDIT: ]
Für Hoster gibts ja immer noch die Möglichkeit entweder jedem Client einen eigenen Server in einem eigenen chroot zur Verfügung zu stellen
und/oder PHP als CGI Modul laufen zu lassen.
PHP verliert dadurch zwar an Geschwindigkeit, die Sicherheit steigt (wenn man Ahnung davon hat) aber enorm...
OK in Sachen Sicherheit ist PHP selbst wohl nicht der renner,
aber warum soll man auch alles PHP überlassen?
Wer eine Seite erstellt sollte sich auch über deren Sicherheit gedanken machen
und selbst dafür sorgen,
sprich alle von außen kommenden Werte genauestens prüfen und entsprechend drauf reagieren.
Wer Code wie
"SELECT irgendwas FROM irgendwo WHERE WAS_ANDRES = $_POST[?variable?]"
oder Leichtsinnsfehler wie
echo $$_GET['variable']
in sein Script einbaut
oder gar den Webserevr als root laufen lässt ist selbst schuld...
Ich find man kann seine eigenen Fehler nicht der Sprache in der man programmiert zuschieben...
MFG - Keks
[ EDIT: ]
Für Hoster gibts ja immer noch die Möglichkeit entweder jedem Client einen eigenen Server in einem eigenen chroot zur Verfügung zu stellen
und/oder PHP als CGI Modul laufen zu lassen.
PHP verliert dadurch zwar an Geschwindigkeit, die Sicherheit steigt (wenn man Ahnung davon hat) aber enorm...
PHP selbst hatte im Core auch schon genügend (auch Fahrlässigkeits-)fehler gehabt, dass ich da jedes Vertrauen verloren habe. Siehe auch zum Beispiel http://www.hardened-php.net/suhosin/why.html
I
IsNull
Guest
PHP:
$sQry = "SELECT F_user From tblLogin where F_user ='".md5($_GET['user'])."'and F_pass ='".md5($_GET['pass'])."'";naja theoretisch reicht es, wenn du alle ' und -- vorher maskierst.
ohne -- kann nicht auskommentiert werden, und ohne ' kein neuer Befehl eingefügt weden
Wobei das ja jetzt SQL-Speziefische sicherheit ist.
Eigentlich geht es ja um die Sicherherheit von PHP selbst
MFG - Keks
ohne -- kann nicht auskommentiert werden, und ohne ' kein neuer Befehl eingefügt weden
Wobei das ja jetzt SQL-Speziefische sicherheit ist.
Eigentlich geht es ja um die Sicherherheit von PHP selbst
MFG - Keks
Es gibt noch ein paar andere Zeichen, auf die man achten sollte. Deshalb würde ich empfehlen, dafür mysql_real_escape_string zu benutzen.