Kommentare zu: PHP und MySQL Sicherheitsmaßnahmen http://www.elexpress.de/archives/2009/01/26/php-und-mysql-sicherheitsmasnahmen/ IT Magazin Tue, 20 Jul 2010 06:26:52 +0000 hourly 1 http://wordpress.org/?v=3.0 Von: Dominik http://www.elexpress.de/archives/2009/01/26/php-und-mysql-sicherheitsmasnahmen/#comment-1769 Dominik Sat, 06 Feb 2010 23:12:16 +0000 http://www.elexpress.de/?p=347#comment-1769 Hi, ich konnte bisher noch keine Lücken in meinen Anwendungen finden. Es mag schon sein, dass es niemals 100%igen Schutz auf Grund dieser Funktionen gibt. Wenn Zeichen wie % usw nicht gebraucht werden, würde ich deren Eingabe einfach verbieten. Ansonsten sollte eine Webanwendung unter Nutzung der Funktionen schon ziemlich sicher sein ;) . Hi,
ich konnte bisher noch keine Lücken in meinen Anwendungen finden. Es mag schon sein, dass es niemals 100%igen Schutz auf Grund dieser Funktionen gibt.

Wenn Zeichen wie % usw nicht gebraucht werden, würde ich deren Eingabe einfach verbieten. Ansonsten sollte eine Webanwendung unter Nutzung der Funktionen schon ziemlich sicher sein ;) .

]]> Von: kogentis - Michael http://www.elexpress.de/archives/2009/01/26/php-und-mysql-sicherheitsmasnahmen/#comment-1768 kogentis - Michael Sat, 06 Feb 2010 21:58:39 +0000 http://www.elexpress.de/?p=347#comment-1768 Hallo Dominik, danke für die Antwort. Das "gezwungenermaßen" eher, weil ich mal wieder an einer Webapp (die nicht erfolgreich attackiert wurde bisher) bastele. Da macht man sich lieber im Vorfeld gründlich Gedanken um die nötige und sinnvolle Sicherheit. Die Klasse SafeSQL ist leider seit 2007 nicht mehr aktualisiert worden. Dann werde ich wohl oder übel neu überlegen müssen und ein paar meiner älteren Klassen aktualisieren. htmlentities() reicht wohl alleine nicht mehr aus: http://www.the-wildcat.de/xss-schutz-dank-htmlentities/ mysql_real_escape_string() bereits umstritten: http://das-computer-board.de/Schutz-vor-SQL-Injections-thread-176.html .. in Zeiten automatisierter Attacken durch Toolsets wirds kritisch. 100%ige Sicherheit heisst heutzutage - Server herunterfahren ;-) Hallo Dominik,

danke für die Antwort. Das “gezwungenermaßen” eher, weil ich mal wieder an einer Webapp (die nicht erfolgreich attackiert wurde bisher) bastele. Da macht man sich lieber im Vorfeld gründlich Gedanken um die nötige und sinnvolle Sicherheit. Die Klasse SafeSQL ist leider seit 2007 nicht mehr aktualisiert worden. Dann werde ich wohl oder übel neu überlegen müssen und ein paar meiner älteren Klassen aktualisieren.

htmlentities()
reicht wohl alleine nicht mehr aus:
http://www.the-wildcat.de/xss-schutz-dank-htmlentities/

mysql_real_escape_string()
bereits umstritten:
http://das-computer-board.de/Schutz-vor-SQL-Injections-thread-176.html

.. in Zeiten automatisierter Attacken durch Toolsets wirds kritisch. 100%ige Sicherheit heisst heutzutage – Server herunterfahren ;-)

]]> Von: Dominik http://www.elexpress.de/archives/2009/01/26/php-und-mysql-sicherheitsmasnahmen/#comment-1745 Dominik Thu, 21 Jan 2010 18:03:25 +0000 http://www.elexpress.de/?p=347#comment-1745 Hallo kogentis, "gezwungenermaßen" <- hört sich aber nicht gerade begeistert an ;) . htmlentities() <= XSS Schutz mysql_real_escape_string() <= SQL Injection Schutz Die SafeSQL Klasse kenne ich nicht. Hallo kogentis,
“gezwungenermaßen” < - hört sich aber nicht gerade begeistert an ;) .

htmlentities() <= XSS Schutz
mysql_real_escape_string() <= SQL Injection Schutz

Die SafeSQL Klasse kenne ich nicht.

]]> Von: kogentis http://www.elexpress.de/archives/2009/01/26/php-und-mysql-sicherheitsmasnahmen/#comment-1744 kogentis Wed, 20 Jan 2010 20:00:20 +0000 http://www.elexpress.de/?p=347#comment-1744 Danke für den Artikel, muss mich gerade gezwungenermaßen damit beschäftigen, habe in einem Video auf Yahoo (http://de.video.yahoo.com/watch/6376488/16537285) gesehen, dass der Autor dort die Funktion ctype_alnum() als Schutz vor XSS-Attacken benutzt. Ist das plausibel - oder besser noch strip_tags() mit rein? Und was ist mit der SafeSQL-Klasse von Monte Ohrt (http://www.phpinsider.com/php/code/SafeSQL/)? Danke für den Artikel, muss mich gerade gezwungenermaßen damit beschäftigen, habe in einem Video auf Yahoo (http://de.video.yahoo.com/watch/6376488/16537285) gesehen, dass der Autor dort die Funktion ctype_alnum() als Schutz vor XSS-Attacken benutzt. Ist das plausibel – oder besser noch strip_tags() mit rein? Und was ist mit der SafeSQL-Klasse von Monte Ohrt (http://www.phpinsider.com/php/code/SafeSQL/)?

]]> Von: Simon http://www.elexpress.de/archives/2009/01/26/php-und-mysql-sicherheitsmasnahmen/#comment-942 Simon Mon, 13 Apr 2009 20:45:47 +0000 http://www.elexpress.de/?p=347#comment-942 gute Verlinkung macht auch viel aus :) Kannst ja in irgendwelchen PHP-Foren den Link zum Artikel posten. Natürlich nur, wenn er in entsprechende Threads passt gute Verlinkung macht auch viel aus :)
Kannst ja in irgendwelchen PHP-Foren den Link zum Artikel posten. Natürlich nur, wenn er in entsprechende Threads passt

]]> Von: Dominik http://www.elexpress.de/archives/2009/01/26/php-und-mysql-sicherheitsmasnahmen/#comment-941 Dominik Mon, 13 Apr 2009 20:43:28 +0000 http://www.elexpress.de/?p=347#comment-941 Ja unter PHP Sicherheitsmaßnahmen rankt der Artikel gut. Aber zu PHP Sicherheit gibt es einfach zu harte Konkurenz und wer macht sich schon die Mühe ersteres Keyword einzugeben xD. Gelesen wurde der Artikel laut Google Analytics ~60 Mal. Ja unter PHP Sicherheitsmaßnahmen rankt der Artikel gut. Aber zu PHP Sicherheit gibt es einfach zu harte Konkurenz und wer macht sich schon die Mühe ersteres Keyword einzugeben xD.

Gelesen wurde der Artikel laut Google Analytics ~60 Mal.

]]> Von: Simon http://www.elexpress.de/archives/2009/01/26/php-und-mysql-sicherheitsmasnahmen/#comment-940 Simon Mon, 13 Apr 2009 20:27:31 +0000 http://www.elexpress.de/?p=347#comment-940 Achwas, bei entsprechenden Suchbegriffen findet man dich sicher über Google. Wie oft wurde der Artikel schon gelesen? Achwas, bei entsprechenden Suchbegriffen findet man dich sicher über Google.

Wie oft wurde der Artikel schon gelesen?

]]> Von: Dominik http://www.elexpress.de/archives/2009/01/26/php-und-mysql-sicherheitsmasnahmen/#comment-939 Dominik Mon, 13 Apr 2009 13:17:50 +0000 http://www.elexpress.de/?p=347#comment-939 Danke das denke ich auch leider werden diesen Artikel wohl zu wenig sehen. Danke das denke ich auch leider werden diesen Artikel wohl zu wenig sehen.

]]> Von: Simon http://www.elexpress.de/archives/2009/01/26/php-und-mysql-sicherheitsmasnahmen/#comment-938 Simon Mon, 13 Apr 2009 11:44:23 +0000 http://www.elexpress.de/?p=347#comment-938 Auch wenn ich diese Lücken schon kannte, ist das eine sehr nützliche Übersicht, vorallem für Anfänger. Simon Auch wenn ich diese Lücken schon kannte, ist das eine sehr nützliche Übersicht, vorallem für Anfänger.

Simon

]]> Von: Dominik http://www.elexpress.de/archives/2009/01/26/php-und-mysql-sicherheitsmasnahmen/#comment-678 Dominik Mon, 09 Feb 2009 09:16:17 +0000 http://www.elexpress.de/?p=347#comment-678 Hallo danke für den Hinweis es gab eine Komplikation mit einem Plugin. Das Beispiel sollte nun wieder zu sehen sein. Hallo danke für den Hinweis es gab eine Komplikation mit einem Plugin. Das Beispiel sollte nun wieder zu sehen sein.

]]>