phpbar.de logo

Mailinglisten-Archive

[php] Wie sieht es mit der Sicherheit von PHP aus ? Oder wie schreibt mansichere PHP-Seiten?sichere PHP-Seiten?

[php] Wie sieht es mit der Sicherheit von PHP aus ? Oder wie schreibt mansichere PHP-Seiten?sichere PHP-Seiten?

Kristian =?iso-8859-1?Q?K=F6hntopp?= kk_(at)_netuse.de
Wed, 10 Nov 1999 11:00:52 +0100


guido wrote:
> angemeldet hatten: Ein Angreifer h=E4tte lediglich in der URL
> https://ssl.yellostrom.de/useit/vertrag/drucken.php3?version=3DFTDD&vertr=
> ag=3D<Nummer>
> 
> eine beliebige Vertragsnummer eingeben m=FCssen, um die Informationen
> abzufragen.<<
> 
> Was ist zu tun um PHP sicher zumachen?

Ein Script darf Daten aus dem Internet nicht vertrauen.

PHP kann man sicher machen, indem man sich überlegt, woher Eingabedaten
kommen, wer sie geprüft hat und was dort drin stehen kann (worst case).
Das wird leichter, wenn man bestimmte Daten nicht an den Kunden sendet,
der sie dann auf Folgeseiten wieder zurücksendet (etwa eine aktuelle
Vertragsnummer), sondern sie als Sessiondaten immer auf dem Server
hält.

Sessiondaten zu verwalten ist vergleichsweise leicht, wenn man ...

Kristian

-- 
Kristian Köhntopp, NetUSE Kommunikationstechnologie GmbH
Siemenswall, D-24107 Kiel, Germany, +49 431 386 436 00
Using PHP3? See our web development library at
http://phplib.netuse.de/ (We have moved! Update your bookmarks!)


php::bar PHP Wiki   -   Listenarchive