Mailinglisten-Archive |
* Sacha Vorbeck wrote:
> Reicht das aus, um ein Skript abzusichern?
Nein. Es gibt diverse Mechanismen, um Skripte abzusichern.
1.) register_globals = Off
Dann kannst du nur noch auf die einzelnen Variablen über
$HTTP_POST_VARS (bzw. $_POST), $HTTP_COOKIE_VARS (bzw.
$_COOKIE, oder war's $_C ?), $HTTP_SESSION_VARS Arrays
zugreifen
2.) traue keinen Daten, die von außen reinkommen (z.B. über
GET, POST, Cookie). Verwende Validierungen (Köhntopp würde
sagen "Entgifte die Variablen"), um ganz sicher zu gehen,
dass du nur die Daten bekommst, die deine Applikation er-
wartest. Im einfachsten Fall also z.B., um zu überprüfen
ob in $HTTP_POST_VARS["plz"] auch wirklich eine Postleitzahl
eingegeben wurde. Im Schlimmsten Fall um zu überprüfen, ob
in $HTTP_POST_VARS["sqlquery"] ein "delete from wichtigetabelle"
steht.
3.) traue keinen Daten, die von innen kommen (Datenbank). Validiere
nach den SQL-Queries die gewonnenen Daten ebenfalls wie in 2.)
4.) etc.
--
Die PHP Feuerwehr macht Ihre PHP-Applikationen sicher. Mehr Infos?
mailto:team_(at)_thinkphp.de
php::bar PHP Wiki - Listenarchive