phpbar.de logo

Mailinglisten-Archive

[php] PHP Sicherheit und CERT

[php] PHP Sicherheit und CERT

Friedhelm Betz holliwell at gmx.net
Don Okt 14 16:59:02 CEST 2004


Hi David,
[...]
> Was da zu machen ist, ist eigentlich am Beispiel ganz gut zu erkennen. 
> Das Problem ist, dass hier ein ungeprüfter Parameter verwendet wird. 
> Dieser muss, wenn man sein Script so aufbaut, überprüft werden. Z.B. 
> könnte man ein Array mit allen erlaubten Dateien anlegen und mittels 
> in_array() überprüfen, ob der Parameter erlaubt ist.

Das war mir schon klar;-)

Ich wollte eher darauf hinaus, dass meiner Meinung nach diese Art von 
Meldungen zwar ganz o.k. sind. Aber _ohne_ explizit irgendwelche 
Hinweise zu geben, wie das Problem in Griff zu bekommen ist, ist das 
doch eher bescheiden.
Die Frage aus Adminsicht dabei ist doch, welche Massnahmen serverseitig 
moeglich sind um sich davor zu schuetzen.

Ich weiss nicht, wie ich auf einen Warnbrief eines Automobilherstellers 
reagieren wuerde, der sagt bei Ihrem Motor laeuft unter bestimmten 
Umstaenden Oel aus, schauen Sie nach ob das bei Ihnen der Fall ist.

Das ist extra uebsrspitzt formuliert, aber so aehnlich kam bei mir diese 
Warnung an ;-)

Gruesse
Friedhelm

php::bar PHP Wiki   -   Listenarchive