screamfine Geschrieben 23. Juni 2005 Teilen Geschrieben 23. Juni 2005 Hallo zusammen! Ich habe bereits ein CMS mit php und mysql realisiert, es ist ein einfaches CMS und soll zukünftig stark erweitert werden. Momentan kann man halt Seiten und Inhalte sowie Benutzerkonten pflegen. Momentan habe ich es so programmiert, dass Seiten über id's aufgerufen werden. Also z.B. www.meineseite.de/index.php?id=seite1. Ebenso nutze ich globale Variablen wie z.Bsp. $HTTP_HOST ... Jetzt habe ich aber gelesen, dass diese Programmierung nicht sehr sicher ist. Ich möchte nun also zum einen mein bisheriges Script auf schnellstem und einfachstem Wege immun gegen SQL-Injektionen usw. machen und dass es mit REGISTER_GLOBALS OFF läuft und zum anderen suche ich Tipps wie ich die Programmierung in Zukunft von vorneherein sicherer gestalten kann. Ich hoffe ihr könnt mir helfen und ein paar handfeste Vorschläge machen könnt :-) Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
TheyCallMeGeek Geschrieben 23. Juni 2005 Teilen Geschrieben 23. Juni 2005 Ich benutze eigene Funktionen für POST/GET/Session/Cookie Variablen, darin kannst du sie umformatieren/entschärfen und bist mit Register_Globals auf der sicheren Seite und noch fast versionsunabhängig. gruß Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
con Geschrieben 23. Juni 2005 Teilen Geschrieben 23. Juni 2005 Die mySQL Injections musst du selber entschärfen. Du musst eben alle Übergebenen Werte (post, get, cookie, etc) prüfen. Achte auch darauf das Sessions nicht gehijacked werden können (Stichwort: Feindliche übernahme). con Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
geloescht_JesterDay Geschrieben 24. Juni 2005 Teilen Geschrieben 24. Juni 2005 Der Aufruf über ids ist ansich schon sicher, du darfst aber eben keine globalen Variablen nutzen. Also für www.meineseite.de/index.php?id=seite1 bestimmst du die gewünschte Seite nicht über $id == "seite1" sondern mit $_GET["id"] == "seite1". Dann ist es auch egal ob RegisterGlobals an oder aus ist. Gegen SQLInjection machst du einfach ein mysql_real_escape_string um alle eingaben, die aus Parametern(Get, Post oder Cookies) kommen. Also anstelle von "... set inhalt = '".$_GET["inhalt"]."'"; machst du "... set inhalt = '".mysql_real_escape_string($_GET["inhalt"])."'"; Für PHP-Versionen < 4.3.0 gibt es nur mysql_escape_string. EDIT: Wobei das mit der Seiten-ID oben ansich kein Problem sein sollte. Natürlich kann jeder die SeitenID ändern (das geht immer, egal ob GET oder POST), aber auf der jeweiligen Seite sollte ja eh erstmal überprüft werden, ob der da hin darf bevor sie angezeigt wird. Interessanter ist das, wenn es sich um Sessiondaten handelt. Also mit RegisterGlobals kann u.U. eine Varialbe $id, die aus der Session kommen sollte über einen einfachen Parameter seite.php?id=2 überschrieben werden. Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
screamfine Geschrieben 24. Juni 2005 Autor Teilen Geschrieben 24. Juni 2005 Hm... also ist meine Programmierung gar nicht sooo unsicher oder falsch. Klar prüfe ich ob ein User entsprechende Rechte für eine Seite ($id) hat. Wenn z.Bsp. $id = seite44 nicht existiert kommt auch eine 404 - Seite. Ich habe mir ausserdem eine Funktion geschrieben, mit der ich wie mit "addslashes" einfach vor jeder SQL-Operation die Strings bearbeite und sicher mache... diese Funktion sieht so aus: function adds($string) { $string=addslashes($string); $string=addcslashes($string,"&*%<>#~,.:;!?=()"); return $string; } Könnte man diese noch sinnvoll erweitern / verbessern, z.Bsp. mysql_real_escape_string ??? Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Empfohlene Beiträge
Dein Kommentar
Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.