Mailinglisten-Archive |
guido wrote: > angemeldet hatten: Ein Angreifer h=E4tte lediglich in der URL > https://ssl.yellostrom.de/useit/vertrag/drucken.php3?version=3DFTDD&vertr= > ag=3D<Nummer> > > eine beliebige Vertragsnummer eingeben m=FCssen, um die Informationen > abzufragen.<< > > Was ist zu tun um PHP sicher zumachen? Ein Script darf Daten aus dem Internet nicht vertrauen. PHP kann man sicher machen, indem man sich überlegt, woher Eingabedaten kommen, wer sie geprüft hat und was dort drin stehen kann (worst case). Das wird leichter, wenn man bestimmte Daten nicht an den Kunden sendet, der sie dann auf Folgeseiten wieder zurücksendet (etwa eine aktuelle Vertragsnummer), sondern sie als Sessiondaten immer auf dem Server hält. Sessiondaten zu verwalten ist vergleichsweise leicht, wenn man ... Kristian -- Kristian Köhntopp, NetUSE Kommunikationstechnologie GmbH Siemenswall, D-24107 Kiel, Germany, +49 431 386 436 00 Using PHP3? See our web development library at http://phplib.netuse.de/ (We have moved! Update your bookmarks!)
php::bar PHP Wiki - Listenarchive