der_booker
Themenersteller
Foren Moderator
selbständig
(2762 Beiträge)

Sicherheit geht vor

am 14.04.2010, 16:26 Uhr eröffnete der_booker folgenden Thread
Sicherheit    2230 mal gelesen    5 Antwort(en).

Vielleicht habe es einige mitbekommen. Ein User aus dem Forum postete den kompletten Source und dieser war leider auch noch so fehleranfällig, dass böse Buben leichtes Spiel gehabt hätten, mit diesem Code enormen Schaden anzurichten.

Sicherheit geht vor geht und deshalb entfernte ich diesen Thread, mit der Bitte Euch wirklich sehr gut zu überlegen, was gepostet wird.


Heiko Jendreck
personal helpdesk
http://www.phw-jendreck.de
http://www.seo-labor.com

doc4pc
Angestellt
Fortgeschrittener (57 Beiträge)
am 14.04.2010, 16:54 Uhr schrieb doc4pc

der_booker schrieb:

Vielleicht habe es einige mitbekommen. Ein User aus dem Forum postete den kompletten Source und dieser war leider auch noch so fehleranfällig, dass böse Buben leichtes Spiel gehabt hätten, mit diesem Code enormen Schaden anzurichten.

Sicherheit geht vor geht und deshalb entfernte ich diesen Thread, mit der Bitte Euch wirklich sehr gut zu überlegen, was gepostet wird.


Mit dem Löschen des Threads, hast Du leider auch Allen die Möglichkeit genommen etwas zu diesem Thema zu lernen, was ich sehr schade finde. Das gilt natürlich im Besonderen für den User. Hätte es nicht gereicht die entsprechende Hinweise auf die Seite mit dem "dramatischen Script" zu editieren/löschen?

LG
Andreas


Stempel bestellen beim Profi:
http://stempelprofi.de
http://stempel-kahle.de

der_booker
Foren Moderator
selbständig
(2762 Beiträge)
am 14.04.2010, 17:48 Uhr schrieb der_booker

Ich habe Deine Hinweise via PN an den betroffenen User weitergeleitet und bin Dir sehr dankbar, dass Du Dich der Sache angenommen hattest.
Es ist immer ein 2 schneidiges Schwert? Was ist gut und was ist schlecht?

Ich bin aber schon am Ãœberlegen, ob wir nicht den Thread ohne Angabe von Code und Links, nachstellen können.


Heiko Jendreck
personal helpdesk
http://www.phw-jendreck.de
http://www.seo-labor.com

webdesignwww
Avatar webdesignwww
Kommunikationsdesigner
Fortgeschrittener (64 Beiträge)
am 14.04.2010, 18:47 Uhr schrieb webdesignwww

Hallo zusammen,

also ich finde, dass Heiko richtig gehandelt hat. Der User wurde ja auch via PN informiert.
Und wenn der User dann auch den Code mit anonymen Beispielen zur Verfügung stellt, ist dabei nichts verloren. Aber sobald eine Gefahr besteht, ist es sogar denk ich mal die Pflicht eines Moderators den Beitrag "vorzeitig" zu löschen. Oder nicht?

Viele Grüße,

Andreas


Webdesign World Wide Web
Andreas Blomenhofer
Web: http://www.webdesign-www.de
Web-Blog: http://blog.webdesign-www.de

romacron
JDev Xer
Content Gott (1224 Beiträge)
am 14.04.2010, 19:16 Uhr schrieb romacron

Hallo DocPc, was wir alle davon lernen konnten "wie vermittle ich der breiten Öffentlichkeit , dass ich Variablen nicht entwerte".

Hatte den Post auch gelesen.
Fazit: alle Zeichen die an eine Sql Abfrage übergeben werden validieren.

Beispiel: es Gibt 2 Artikel der 1. ist für jedermann lesbar der andere mit privaten Sachen.

hier die versuchte Sicherheit

<form> <input type="text" name="content" value="1 OR content=2"/> </form>

if($_POST[\'content\']==2){
return "Du bist ein Bösewicht, aber ich hab mir das gedacht";
}

nun die Query

SELECT * FROM WHERE content= $_POST[\'content\'];

Blödes Beispiel aber immer wieder gern und erfolgreich getestet.

Richtig würde sein:
$content=(int) $_POST[\'content\'];

if($content]==2){.....

Wichtig: erst Datensicherheit, dann Datenbanken


Raptor
Avatar Raptor
IT-Student
Content Gott (1013 Beiträge)
am 14.04.2010, 19:48 Uhr schrieb Raptor

An die betroffene Person:
Könnte nützlich sein:

GET- und POST-Variablen richtig prüfen, weil diese Daten vom Clienten kommen und ihnen somit nicht vertraut werden kann. Dazu gehören auch Werte aus Cookies und die ein oder andere $_SERVER-Variable.
Es gibt einfache Möglichkeiten diese Variablen zu filtern, sodass sie nur gewollte Werte besitzen.
? Boolean, welcher als 0 oder 1 übergeben wird:
  [color=blue]$boolean = (bool)(int)$_GET[\'boolean\'];[/color]
? Ganzzahl: [color=blue]$integer = (int)$_GET[\'integer\'];[/color]
  bzw. Fliesskommazahl: [color=blue]$float = (float)$_GET[\'float\'];[/color]
? Hexadezimale Zahl als String:
  [color=blue]$hex = dechex(hexdec($_GET[\'hex\']));[/color]
? Zeichenketten, die mit MySQL weiterverarbeitet werden:
  [color=blue]$string = mysql_escape_string($_GET[\'string\']);[/color]

Richtig PHP programmieren


Meine Developer-Website mit den Web-Entwickler-Tools.
Meine Web-Entwicklungs-Dienstleistungen

[url="http://www.seitenreport.de/forum/beitraege/seitenreport_verlosungen/wichtig_neue_regel

  • 1


« zurück zu: Sicherheit

Das Seitenreport Forum hat aktuell 5274 Themen und 36115 Beiträge.
Insgesamt sind 48327 Mitglieder registriert.