[PHP] Sicherheitstutorial

[.wired]

Hi

Mich würde ein Tutorial tierisch interessieren, welches zeigt, wie man sichere Scripts in PHP programmiert, so das eventuelle Sicherheitslücken geschlossen werden so dass keine SQL-Injection oder Anwenung von Exploits mehr möglich ist. Mir ist natürlich klar, dass sowas als Alleinprogrammierer wohl sowieso niemals gelingen wird, aber ich würde meine Seiten wenigstens gegen "Noobs" schützen wollen, die nicht so viel Ahnung davon haben. Profihacker wird man wohl dennoch schwerlich abhalten können . Beispiele, Programmierstil, Befehle... Würde mich sehr freuen

MfG .wired

[Avedo]

Also ich könnte da mal in den nächsten Wochen ein kleines, leider wirklich nur kleines Tutorial schreiben, wo so die wichtigsten Sachen drinstehen, da ich leider voll im Abi-Stress bin. Da würden dann so Sachen wie Cross-Site-Scripting und SQL-Injection angesprochen.
MfG, Andy

[Manuel]

Vielleicht wäre es dann wesentlich sinnvoller, wenn du dir eine Sache aussuchst und darüber etwas ausführlicher schreibst? Dann könnte man ja vielleicht ne PHP-Sicherheit Kategorie machen und da wirklich mal die schlimmsten Dinge erfassen, so dass alle was dazu beitragen können.

[Avedo]

Das Problem ist ja, dass man das nicht wirklich abgrenzen kann. 60-70% aller möglichen Hacks kann man abwehren, indem man Formulareingaben validiert. Das heißt, dass man html umwandelt PHP-Code komplett entfernt etc. Die meisten fießen Hacks werden per JavaScript iniziiert. Man packt in ein beliebiges Formular einer Website ein Javascript rein und schickt das ab. Wenn die Eingabe über das Formular nicht validiert wird, wird dieses Script automatisch ausgeführt, wenn die in das Formular eingetragenen Daten angezeigt werden. Das Script ruft dann eine bösartige Datei auf einem fremden Server auf. Die kann dann zum Beispiel User-Daten in eine öffentlich zugängliche Datei schreiben, mehrere Dateien löschen oder wild verschieben.

Werde mir einfach etwas mehr Zeit nehmen, sodass ich es doch so ausführlich wie nötig machen kann.

MfG, Andy

[mstrauss]

Guten Morgen,

sehe ich ähnlich, man kann beim Thema Sicherheit sich nicht nur auf die Scriptsprache PHP versteifen. Was nützen einem die besten Absicherungen, wenn der Rechner und der Webserver nicht gut konfiguriert sind. Vielleicht wär es sinnvoll, eine Reihe draus zu machen, und Themenschwerpunkte zu setzen, wobei die einzelnen Themen ineinander greifen müssen. Ist sicherlich für einen alleine auch zuviel.

Gruß
Markus

[Manuel]

Da habt ihr wohl recht. Ich überleg mir was wegen einer gescheiten Kategorie, in die alles passen würde. Serversicherheit hat da sicherlich auch einen Großteil mit zu tun, wobei es da ja schon ein paar SSH-Tutorials gibt. Dennoch gibt es auch in PHP jede Menge Möglichkeiten, den Quellcode sicherer zu machen. Klar ist das häufig das Überprüfen von Variablen, aber auch da gibt es verschiedene Möglichkeiten: Whitelist, reguläre Ausdrücke, Switch usw.

Was ebenfalls sehr viel Sicherheit bringt ist mod_Rewrite, wobei man da auch jede Menge schreiben könnte...wie es funktioniert, was es für Möglichkeiten gibt und warum man das macht...ein sehr interessantes Thema auf jeden Fall.

Glaubt ihr eine eigene Kategorie für PHP-Sicherheit wäre zu viel? Also dass man dort zu wenig zeigen kann? Oder wie könnte man das sinnvoll unterteilen?

Lg,
Manuel

[.wired]

Ui Was hab ich angestellt? Wenn ich Manuel richtig verstanden habe, ist es seine Idee, so eine "Sicherheitssection" im Forum selbst zu erstellen (??) Ich würde eher vorschlagen, solch eine Section im Tutorialbereich zu machen (Wenn das Manuels Idee war, bitte ich um Verzeihung ) Fände ich toll

MfG .wired

[Manuel]

War schon für die Tutorials gedacht, richtig!
Hier im Forum würde das weniger Sinn machen. Da fragt man eh in der entsprechenden Kategorie nach.