• Das Erstellen neuer Accounts wurde ausgesetzt. Bei berechtigtem Interesse bitte Kontaktaufnahme über die üblichen Wege. Beste Grüße der Admin

SELECT Problem

ein schlauer schrieb:
Du hälst Sicherheit nicht für eine grundlegende Sache?
Vor allem wirst du, wenn du dein Skript so weiter programmierst, hinterher einen Riesenauswand haben es halbwegs sicher zu machen.

EDIT: übrigens der Fehler den du hier hast, wäre dir ebenfalls nicht passiert, wenn du die Variabeln mit den entsprechenden Methoden bearbeitet hättest.
Zum Vergrößern anklicken....
Hm, dann frage ich mich aber wieso wird in tausenden von Tutorials im Internet und auch in Büchern diese Art von Code gelehrt und nicht die sicheren Methoden?
Ich wende eigentlich nur das an was ich von verschiedenen Quellen gesehen habe.

Kennst du vielleicht eine gute Webseite oder ein Buch über PHP/MySQL Sicherheit?
 
Zuletzt bearbeitet:
Lightstorm schrieb:
Hm, dann frage ich mich aber wieso wird in tausenden von Tutorials im Internet und auch in Büchern diese Art von Code gelehrt und nicht die sicheren Methoden?
Zum Vergrößern anklicken....
Naja, vermutlich weil denen deine Datenbank egal ist oder die Autoren keine Erfahrung haben. Ich hab bei einem durchschnittlich besuchten Shop mehrmals täglich solche Versuche.


Lightstorm schrieb:
Kennst du vielleicht eine gute Webseite oder ein Buch über PHP/MySQL Sicherheit?
Zum Vergrößern anklicken....
Ich kann kein PHP, aber evtl. steht ja was auf der wikipedia Seite?
 
Hm, dann frage ich mich aber wieso wird in tausenden von Tutorials im Internet und auch in Büchern diese Art von Code gelehrt und nicht die sicheren Methoden?
Zum Vergrößern anklicken....
Die Frage ist gut, die Antwort schwierig.
Die meisten guten (und damit teuren) Bücher über PHP enthalten Hinweise auf die Sicherheitsprobleme. Es gibt auch einen Band, der sich ausschliesslich dem Thema widmet:
PHP-Sicherheit

Allerdings ist PHP ziemlich leicht zu erlernen, und viele Tutorial-Autoren sind sich mancher Probleme nicht bewusst. So ist es ziemlich leicht (was man auch ab und zu in diesem Forum sieht) eine Seite per include direkt abhängig von einem GET-Partameter einzubinden (was natürlich erlaubt, beliebigen Schadcode von beliebigen Domains zu laden).Auch möchte natürlich niemand einem Angreifer erlauben, seine Datenbank zu manipulieren (Gib mal in Deinem Passwortfeld ' or 1-- ein, dann dürftest Du ohne Passwort in Deinem Admin-Bereich landen-vorausgesetzt, Dein Server ist schlecht konfiguriert). Kurz gesagt: Andere Sprachen wie Java, Python .Net haben natürlich auch ihre Sicherheitsprobleme. Allerdings haben die meisten ProgrammiererInnen, welche solche Sprachen nutzen, auch eine entsprechende Ausbildung hinter sich. Bei PHP ist dies weniger der Fall.
 
Zuletzt bearbeitet:
@Luz

Das Buch PHP-Sicherheit habe ich auch gefunden, werde es mir wohl zulegen.
Und du hast wohl recht das durch die einfache Elernbarkeit von PHP es mehr schlechte Programmierer gibt als bei den anspruchsvolleren Sprachen wo es nur Leute anwenden die sich damit intensiver beschäftigt haben.

In meinem PHP Buch gibt es ein kleinen Kapitel über die Sicherheit, Grundlagen.
Jetzt weiß ich das ich die Variablen überprüfen muss bevor sie verwendet werden, z.B. die Sonderzeichen rauszufiltern um Eingabe von fremdem Code zu verhindern oder überprüfen ob der Typ der Variable dem erwarteten Typ entspricht, oder nur einen festen Wertbereich erlauben usw.
(Gib mal in Deinem Passwortfeld ' or 1-- ein, dann dürftest Du ohne Passwort in Deinem Admin-Bereich landen-vorausgesetzt, Dein Server ist schlecht konfiguriert)
Zum Vergrößern anklicken....
Habs mal ausprobiert, passierte aber nichts, weiße Seite. Nutze auf dem PC XAMPP mit Standard Einstellungen.
Werde aber später auf dem Server den Apache wohl selber einrichten müssen.
 
Habs mal ausprobiert, passierte aber nichts
Zum Vergrößern anklicken....

Das liegt an der magic_quotes_gpc Direktive, die solche Angriffe standardmässig zu unterbinden sucht (maskieren aller ' in Usereingaben). Diese eingeschaltet zu haben, ist schon recht (auch wenn das einen Schwanz weiterer Probleme mit sich bringt). PHP6 wird dies nicht mehr unterstützen, weshalb Du dies am besten schon jetzt berücksichtigst:
Blog – »magic_quotes_gpc« [mBaumer.de] Markus Baumer

Spätestens bei der Umstellung dürfte es dann bei ein paar "Webagenturen" krachen.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben