✔ Frage zur Sicherheit

MasterDP23 · 26. Dezember 2008

Hi liebe Tutorials Gemeinde,

Ich hab da mal ein Problem.

Ich würde gerne wissen wie ich mich gegen SQL Injektions, XSS etc. .. zur Wehr setzen kann.

Also wie ich meinen Code gezielt erweitern und somit schützen kann. Da ich noch Anfänger bin wäre es super wenn Ihr ein bischen Code für mich über hättet. ?

Vielen Dank im Voraus

Mit freundlichen Grüßen

Euer MasterDP23

djbergo · 26. Dezember 2008

Hier mal ein Zitat von Gumbo:

Ein guter Schutz vor SQL-Injektionen und andere Angriffen, bei denen Schadcode eingeschleust wird, setzt sich aus einer Kombination der folgenden Vorgehensweisen zusammen:

* Validieren der Eingabewerte, das heißt das Prüfen der Eingabewerte auf erwartete Eigenschaften
* Filtern der Eingabewerte, das heißt das gezielte Ändern der Eigenschaften, so dass der Wert schließlich eine Validierung besteht
* Maskieren der Metazeichen des jeweiligen Kontexts, in den die Eingabewerte eingesetzt werden sollen.

---

SQL-Injektionen stellen mittlerweile gar nicht mehr das größte Sicherheitsrisiko dar (siehe WASC: Web Application Security Statistics, OWASP: Top 10 2007), da dessen Risiken eben schon vielen bekannt und es schon viele Schutzvorkehrungen gibt.
Viel häufiger hingegen sind Cross-Site-Scripting-Angriffe geworden, die auch in vielen unterschiedlichen Formen und Variationen auftreten können.

splasch · 26. Dezember 2008

Hi

Gegen Sql Injection kanst du dich mit PDO schützen ab Php 5 verfügbar.

siehe auch unter:
http://www.easy-coding.de/mysql-injection-wie-am-besten-schuetzen-t4102.html
oder
http://www.tutorials.de/forum/php/331064-sql-injection.html

Bei XSS hilft nur Valdieren zumindesten ist mir da nicht mehr bekannt.

Mfg Splasch

djbergo · 26. Dezember 2008

Sag ich doch... Siehe mein Beitrag!

Gumbo · 26. Dezember 2008

djbergo hat gesagt.:
Hier mal ein Zitat von Gumbo […]

Es wäre schön, wenn du bei einem Zitat auch die Quelle angibst. In diesem Fall ist das SQL Injection - Schutz dagegen? - XHTMLforum

ZodiacXP · 26. Dezember 2008

Hier gibs einen ganzen lesenswerten Thread dazu:
http://www.tutorials.de/forum/php/240856-sicherheit-php.html

sebastiangdot · 26. Dezember 2008

Ich lese es gerade, und bin ob der guten Tipps zu Software und Maillinglisten begeistert. Also, zum Thema PHP Sicherheit ist es wirklich die Zeit wert, mal ein komplettes Offline-Buch zu lesen (Auch, um das volle Spektrum dieser Wissenschaft zu erfassen und zu verstehen, dass Sicherheit nicht mit dem PHP-Skript anfängt - und warum das so ist).

http://www.amazon.de/PHP-Sicherheit...=sr_1_1?ie=UTF8&s=books&qid=1230320967&sr=8-1

djbergo · 27. Dezember 2008

Ja sorry Gumbo. Ich hab den Beitrag auf die schnelle verfasst.

MasterDP23 · 27. Dezember 2008

Hi,
Danke für die vielen tollen Hintergrund Infos.

Kann mir jemand von Euch eventuell ein Code Beispiel für eine "White List" geben.
(Also ich will ein Formular halt sicher machen mit Datum etc.)
Anhand eines Beispiels kann ich immer besser lernen.

Bin halt noch Anfänger.

Vielen Dank für Euer Mühe und Zeit.

Euer Dom

CookieBuster · 27. Dezember 2008

Was genau verstehst du denn unter einer "White List"?

Ne Erläuterung von dem Begriff wäre bestimmt nützlich

✔ Frage zur Sicherheit

MasterDP23

Mitglied

djbergo

Erfahrenes Mitglied

splasch

Erfahrenes Mitglied

djbergo

Erfahrenes Mitglied

Gumbo

Erfahrenes Mitglied

ZodiacXP

Erfahrenes Mitglied

sebastiangdot

Grünschnabel

djbergo

Erfahrenes Mitglied

MasterDP23

Mitglied

CookieBuster

Erfahrenes Mitglied

Neue Beiträge