der_booker
Themenersteller
Foren Moderator
selbständig
(2762 Beiträge)
Sicherheit geht vor
Vielleicht habe es einige mitbekommen. Ein User aus dem Forum postete den kompletten Source und dieser war leider auch noch so fehleranfällig, dass böse Buben leichtes Spiel gehabt hätten, mit diesem Code enormen Schaden anzurichten.
Sicherheit geht vor geht und deshalb entfernte ich diesen Thread, mit der Bitte Euch wirklich sehr gut zu überlegen, was gepostet wird.
Heiko Jendreck
personal helpdesk
http://www.phw-jendreck.de
http://www.seo-labor.com
doc4pc
Angestellt
Fortgeschrittener (57 Beiträge)
der_booker schrieb:
Vielleicht habe es einige mitbekommen. Ein User aus dem Forum postete den kompletten Source und dieser war leider auch noch so fehleranfällig, dass böse Buben leichtes Spiel gehabt hätten, mit diesem Code enormen Schaden anzurichten.
Sicherheit geht vor geht und deshalb entfernte ich diesen Thread, mit der Bitte Euch wirklich sehr gut zu überlegen, was gepostet wird.
Mit dem Löschen des Threads, hast Du leider auch Allen die Möglichkeit genommen etwas zu diesem Thema zu lernen, was ich sehr schade finde. Das gilt natürlich im Besonderen für den User. Hätte es nicht gereicht die entsprechende Hinweise auf die Seite mit dem "dramatischen Script" zu editieren/löschen?
LG
Andreas
Stempel bestellen beim Profi:
http://stempelprofi.de
http://stempel-kahle.de
der_booker
Foren Moderator
selbständig
(2762 Beiträge)
Ich habe Deine Hinweise via PN an den betroffenen User weitergeleitet und bin Dir sehr dankbar, dass Du Dich der Sache angenommen hattest.
Es ist immer ein 2 schneidiges Schwert? Was ist gut und was ist schlecht?
Ich bin aber schon am Ãœberlegen, ob wir nicht den Thread ohne Angabe von Code und Links, nachstellen können.
Heiko Jendreck
personal helpdesk
http://www.phw-jendreck.de
http://www.seo-labor.com
webdesignwww
Kommunikationsdesigner
Fortgeschrittener (64 Beiträge)
Hallo zusammen,
also ich finde, dass Heiko richtig gehandelt hat. Der User wurde ja auch via PN informiert.
Und wenn der User dann auch den Code mit anonymen Beispielen zur Verfügung stellt, ist dabei nichts verloren. Aber sobald eine Gefahr besteht, ist es sogar denk ich mal die Pflicht eines Moderators den Beitrag "vorzeitig" zu löschen. Oder nicht?
Viele Grüße,
Andreas
Webdesign World Wide Web
Andreas Blomenhofer
Web: http://www.webdesign-www.de
Web-Blog: http://blog.webdesign-www.de
romacron
JDev Xer
Content Gott (1224 Beiträge)
Hallo DocPc, was wir alle davon lernen konnten "wie vermittle ich der breiten Öffentlichkeit , dass ich Variablen nicht entwerte".
Hatte den Post auch gelesen.
Fazit: alle Zeichen die an eine Sql Abfrage übergeben werden validieren.
Beispiel: es Gibt 2 Artikel der 1. ist für jedermann lesbar der andere mit privaten Sachen.
hier die versuchte Sicherheit
<form> <input type="text" name="content" value="1 OR content=2"/> </form>
if($_POST[\'content\']==2){
return "Du bist ein Bösewicht, aber ich hab mir das gedacht";
}
nun die Query
SELECT * FROM WHERE content= $_POST[\'content\'];
Blödes Beispiel aber immer wieder gern und erfolgreich getestet.
Richtig würde sein:
$content=(int) $_POST[\'content\'];
if($content]==2){.....
Wichtig: erst Datensicherheit, dann Datenbanken
Raptor
IT-Student
Content Gott (1013 Beiträge)
An die betroffene Person:
Könnte nützlich sein:
GET- und POST-Variablen richtig prüfen, weil diese Daten vom Clienten kommen und ihnen somit nicht vertraut werden kann. Dazu gehören auch Werte aus Cookies und die ein oder andere $_SERVER-Variable.
Es gibt einfache Möglichkeiten diese Variablen zu filtern, sodass sie nur gewollte Werte besitzen.
? Boolean, welcher als 0 oder 1 übergeben wird:
[color=blue]$boolean = (bool)(int)$_GET[\'boolean\'];[/color]
? Ganzzahl: [color=blue]$integer = (int)$_GET[\'integer\'];[/color]
bzw. Fliesskommazahl: [color=blue]$float = (float)$_GET[\'float\'];[/color]
? Hexadezimale Zahl als String:
[color=blue]$hex = dechex(hexdec($_GET[\'hex\']));[/color]
? Zeichenketten, die mit MySQL weiterverarbeitet werden:
[color=blue]$string = mysql_escape_string($_GET[\'string\']);[/color]
Richtig PHP programmieren
Meine Developer-Website mit den Web-Entwickler-Tools.
Meine Web-Entwicklungs-Dienstleistungen
[url="http://www.seitenreport.de/forum/beitraege/seitenreport_verlosungen/wichtig_neue_regel
Das Seitenreport Forum hat aktuell 5275 Themen und 36110 Beiträge.
Insgesamt sind 48360 Mitglieder registriert.
Beitrag erstellen
EinloggenKostenlos registrieren