phpbar.de - Mailinglisten-Archive

Mailinglisten-Archive

[php] Sicherheit von PHP?

Andre Temme php_(at)_phpcenter.de
Thu, 16 Aug 2001 10:52:04 +0200

Previous message: [php] Datentypen im MySQL
Next message: Ungeschickter Eintrag im detuschen PHP Manual - was: Re[2]: [php] Sicherheit von PHP?
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]

> > Da kann man nur mal auf folgenden Artikel verweisen:
> > Exploit Common Vulnerabilities in PHP Applications
> > http://www.securereality.com.au/studyinscarlet.txt
>=20
> wobei man =FCber diesen Artikel stark streiten kann,
> der Autor schiebt typische Programmierfehler die Anf=E4nger=20
> machen als Sprache
> und macht damit die PHP Group verantwortlich f=FCr unsichere =
Scripte...
> und Dinge seine Meinung register_globals wurden schon oft Diskutiert
> glaubt ja nicht das wenn ihr das macht was in dem Artikel=20
> steht sofort alles
> sicher ist.
> Viel wichtiger ist zu verstehen wie die von ihm gezeigten=20
> Exploits funktionieren
> warum sie funktionieren,
> und was man beachten muss.

Na, das ist ja aber stark vereinfacht, oder?
Ich fand den Artikel schon klasse, auch wegen des von dir angesprochenen
Lerneffekts. Allerdings sind das nach Meinung des Autors nicht typische
Anf=E4ngerfehler, sondern typische Fehler, die dauernd vorkommen. Das
Beispiel phpMyAdmin bezieht sich ja auch nicht auf einen Anf=E4nger als
Autoren :) Und ein paar Dinge wie die M=F6glichkeit, per PHP immer =
Uploads
machen zu k=F6nnen, ob der Server will oder nicht, fand ich schon auch
erstaunlich. Die Argumentation ging ja auch eher in die Richtung, das
PHP nicht schlecht ist, sondern das es aufgrund der eingebauten Features
dem sicherheitsbewu=DFten Programmierer die Arbeit sehr schwer macht.

Dabei ist mir auch eine Frage gekommen, die ich mir bislang nicht
zufriedenstellend beantworten konnte: Man soll ja Formulardaten nicht
direkt verarbeiten, sondern =FCber die betreffenden Global-Arrays. Was
macht das denn f=FCr einen Unterschied? Wenn ich einfach irgendwelche
GET-Parameter anh=E4nge oder POSTS fake, dann stehen die doch auch in
diesen Arrays, oder nicht? Wo liegt denn der Sicherheitsvorteil, bzw.
wie mu=DF ich denn programmieren, um zu vermeiden, das Variablen =
jenseits
der Trust-Boundary unzul=E4ssige Werte annehmen? Ich verstehe einfach
nicht, was das mit den Arrays zu tun hat, das geht doch nur =FCber =
direkte
Pr=FCfung der Variablen auf zul=E4ssige Wertebereiche, oder?

Viele Gr=FC=DFe
Andr=E9 Temme

Previous message: [php] Datentypen im MySQL
Next message: Ungeschickter Eintrag im detuschen PHP Manual - was: Re[2]: [php] Sicherheit von PHP?
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]

php::bar PHP Wiki - Listenarchive