phpbar.de logo

Mailinglisten-Archive

[php] Formularauswertung absichern

[php] Formularauswertung absichern

Björn Schotte php_(at)_phpcenter.de
Fri, 26 Oct 2001 15:55:44 +0200


* Sacha Vorbeck wrote:
> Reicht das aus, um ein Skript abzusichern?

Nein. Es gibt diverse Mechanismen, um Skripte abzusichern.

1.) register_globals = Off

    Dann kannst du nur noch auf die einzelnen Variablen über
    $HTTP_POST_VARS (bzw. $_POST), $HTTP_COOKIE_VARS (bzw.
    $_COOKIE, oder war's $_C ?), $HTTP_SESSION_VARS Arrays
    zugreifen
    
2.) traue keinen Daten, die von außen reinkommen (z.B. über
    GET, POST, Cookie). Verwende Validierungen (Köhntopp würde
    sagen "Entgifte die Variablen"), um ganz sicher zu gehen,
    dass du nur die Daten bekommst, die deine Applikation er-
    wartest. Im einfachsten Fall also z.B., um zu überprüfen
    ob in $HTTP_POST_VARS["plz"] auch wirklich eine Postleitzahl
    eingegeben wurde. Im Schlimmsten Fall um zu überprüfen, ob
    in $HTTP_POST_VARS["sqlquery"] ein "delete from wichtigetabelle"
    steht.
    
3.) traue keinen Daten, die von innen kommen (Datenbank). Validiere
    nach den SQL-Queries die gewonnenen Daten ebenfalls wie in 2.)
    
4.) etc.

-- 
Die PHP Feuerwehr macht Ihre PHP-Applikationen sicher. Mehr Infos?

                 mailto:team_(at)_thinkphp.de


php::bar PHP Wiki   -   Listenarchive