phpbar.de logo

Mailinglisten-Archive

[php] PHP Sicherheit und CERT

[php] PHP Sicherheit und CERT

David Molineus david at molineus.de
Don Okt 14 15:31:16 CEST 2004


Hallo Friedhelm,

> Da Ron in einem anderen Post grade Sicherheit ansprach:
> http://cert.uni-stuttgart.de/archive/win-sec-ssc/2004/10/msg00015.html
> Was haltet Ihr davon? Irgendwie ist das doch ziemlich duenne Suppe, 
> ich weiss nicht was ich von diesen Warnungen per se halten soll.
> Hoeflicherweise wird empfohlen PHP Installationen auf 
> Einbruchsversuche zu pruefen, toll, aber mit keinem Wort explizit 
> erwaehnt, welche Massnahmen ergriffen werden koennten. Ausser implizit 
> url_fopen auszustellen.

Was da zu machen ist, ist eigentlich am Beispiel ganz gut zu erkennen. 
Das Problem ist, dass hier ein ungeprüfter Parameter verwendet wird. 
Dieser muss, wenn man sein Script so aufbaut, überprüft werden. Z.B. 
könnte man ein Array mit allen erlaubten Dateien anlegen und mittels 
in_array() überprüfen, ob der Parameter erlaubt ist.

David

php::bar PHP Wiki   -   Listenarchive