Veröffentlicht 23. Juni 200520 j Hallo zusammen! Ich habe bereits ein CMS mit php und mysql realisiert, es ist ein einfaches CMS und soll zukünftig stark erweitert werden. Momentan kann man halt Seiten und Inhalte sowie Benutzerkonten pflegen. Momentan habe ich es so programmiert, dass Seiten über id's aufgerufen werden. Also z.B. www.meineseite.de/index.php?id=seite1. Ebenso nutze ich globale Variablen wie z.Bsp. $HTTP_HOST ... Jetzt habe ich aber gelesen, dass diese Programmierung nicht sehr sicher ist. Ich möchte nun also zum einen mein bisheriges Script auf schnellstem und einfachstem Wege immun gegen SQL-Injektionen usw. machen und dass es mit REGISTER_GLOBALS OFF läuft und zum anderen suche ich Tipps wie ich die Programmierung in Zukunft von vorneherein sicherer gestalten kann. Ich hoffe ihr könnt mir helfen und ein paar handfeste Vorschläge machen könnt :-)
23. Juni 200520 j Ich benutze eigene Funktionen für POST/GET/Session/Cookie Variablen, darin kannst du sie umformatieren/entschärfen und bist mit Register_Globals auf der sicheren Seite und noch fast versionsunabhängig. gruß
23. Juni 200520 j Die mySQL Injections musst du selber entschärfen. Du musst eben alle Übergebenen Werte (post, get, cookie, etc) prüfen. Achte auch darauf das Sessions nicht gehijacked werden können (Stichwort: Feindliche übernahme). con
24. Juni 200520 j Der Aufruf über ids ist ansich schon sicher, du darfst aber eben keine globalen Variablen nutzen. Also für www.meineseite.de/index.php?id=seite1 bestimmst du die gewünschte Seite nicht über $id == "seite1" sondern mit $_GET["id"] == "seite1". Dann ist es auch egal ob RegisterGlobals an oder aus ist. Gegen SQLInjection machst du einfach ein mysql_real_escape_string um alle eingaben, die aus Parametern(Get, Post oder Cookies) kommen. Also anstelle von "... set inhalt = '".$_GET["inhalt"]."'"; machst du "... set inhalt = '".mysql_real_escape_string($_GET["inhalt"])."'"; Für PHP-Versionen < 4.3.0 gibt es nur mysql_escape_string. EDIT: Wobei das mit der Seiten-ID oben ansich kein Problem sein sollte. Natürlich kann jeder die SeitenID ändern (das geht immer, egal ob GET oder POST), aber auf der jeweiligen Seite sollte ja eh erstmal überprüft werden, ob der da hin darf bevor sie angezeigt wird. Interessanter ist das, wenn es sich um Sessiondaten handelt. Also mit RegisterGlobals kann u.U. eine Varialbe $id, die aus der Session kommen sollte über einen einfachen Parameter seite.php?id=2 überschrieben werden.
24. Juni 200520 j Autor Hm... also ist meine Programmierung gar nicht sooo unsicher oder falsch. Klar prüfe ich ob ein User entsprechende Rechte für eine Seite ($id) hat. Wenn z.Bsp. $id = seite44 nicht existiert kommt auch eine 404 - Seite. Ich habe mir ausserdem eine Funktion geschrieben, mit der ich wie mit "addslashes" einfach vor jeder SQL-Operation die Strings bearbeite und sicher mache... diese Funktion sieht so aus: function adds($string) { $string=addslashes($string); $string=addcslashes($string,"&*%<>#~,.:;!?=()"); return $string; } Könnte man diese noch sinnvoll erweitern / verbessern, z.Bsp. mysql_real_escape_string ???
Archiv
Dieses Thema wurde archiviert und kann nicht mehr beantwortet werden.