Sicherheit? Wie und was?

[BeaTBoxX]

Hiho zusammen,

ich bastle seid einiger Zeit an einer Community Seite. Da sich dort also "unbekannte" Leute anmelden, und die Seite benutzen sollen, kann ich auch nicht ausschliessen, dass mal jemand boeswillig etwas kaputtmachen will.
Deswegen meine Frage, welche Bereiche man überdenken sollte, um eine Seite einigermaßen sicher zu machen.
Konkretes Problem:
z.B. haben die user dort natuerlich ein Profil usw, wo Daten von jedem Benutzer einzutragen sind. Wie verhinder ich, dass statt dem dafür vorgesehenen Text irgendwelcher Code eingefügt wird? usw.. usw..

Ich weiss, dass das evtl erwas allgemein gesprochen ist, aber
könnt ihr mir da ein paar Denkanstösse geben?


Dankeschoen.

Gruß
Frank

 

[Nils Hitze]

Code einfügen ? Meinst du HTML ?

[phpf]strip_tags[/phpf]
[phpf]htmlspecialchars[/phpf]

 

[MiLa]

Vieleicht redet er auch von SQL-Injections?

Meines Wissens nach geht dies grade mit PHP nicht wenn man die Funktion mysql_query() benutz, da diese immer nur EINEN Query ausführen kann, lieg ich da richtig?

 

[ludz]

Eigentlich wurde von meinen Vorrednern dazu schon das Nötigste gesagt. Du solltest also auf jeden Fall ALLE eingehenden Daten (ob POST, GET usw. ist egal) prüfen, ob sie denn auch wirklich die Werte besitzen, die du erhalten möchtest.
Das bedeutet, dass du sowohl HTML-Tags, als auch JavaScript-Passagen unschädlich machst und zudem Variablen von "außen" auf ihren Variablentyp überprüfst, also Werte, die z.B. als Ganzzahl ankommen sollen, mit [phpf]intval[/phpf] checkst usw.
Bzgl. SQL-Injections wäre die Funktion [phpf]mysql_escape_string[/phpf] sinnvoll (auch wenn es stimmt, Lars, dass mysql_query() nur ein Query ausführen kann).

Des WEiteren könntest du dich über Google nochmal schlau machen über die angesprochene Gefahr von SQL-Injections und das Problem "Cross Scripting".

 

[Zack]

Einiges wurde schon gesagt aber ich denke es fehlen noch paar Schlagworte, die auf jeden Fall wichtig sind. Meiner Meinung nach sollte man folgende Sachen beachten:
- Validation der Eingaben
- Schutz vor SQL Injections
- Schutz vor Crossite Scripting
- Schutz vor Include Exploids
- Schutz des Logins vor Brute Force Angriffen
- robots.txt für Bots
- .htaccess Verzeichnisschutz, sperren bestimmter Verzeichnisse

mfg