Ergebnis 1 bis 7 von 7

Thema: Sicherheit: Bitte um Bewertung/Hinweise zu einem Script

  1. #1
    der/die Göttliche Avatar von jojo87
    Registriert seit
    23.03.2007
    Ort
    Leipzig
    Alter
    30
    Beiträge
    3.131
    Danke
    0
    Bekam 0 mal "Danke" in 0 Postings

    Standard Sicherheit: Bitte um Bewertung/Hinweise zu einem Script

    Hallo liebe Experten.

    Habe versucht, mich mit der (zumindest standardmäßigen) Sicherheit in PHP zu beschäftigen.
    Würde dazu gerne mal ein paar Meinungen/Ratschläge hören. Habe als Test ein kleines Gästebuch geschrieben. Die Einträge werden folgendermaßen vor dem Übernehmen in die Datenbank (mysql) bearbeitet:
    Code:
    $mailex = '/[\w \.-_]+@[\w \-_]+\.[\w \.]{2,}/';
    if ($_POST['name'] == NULL OR $_POST['text'] == NULL OR $_POST['mail'] == NULL OR preg_match($mailex, $_POST['mail']) == FALSE) {
    	header('location: http://localhost/~jojo/gb/gb.php');
    	die();
    }
    $name = addslashes($_POST['name']);
      $name = strip_tags($name);
    $mail = addslashes($_POST['mail']);
      $mail = strip_tags($mail);
    $hp = addslashes($_POST['hp']);
      $hp = strip_tags($hp);
    $text = addslashes($_POST['text']);
      $text = strip_tags&#40;$text, '<a>'&#41;;
    $ip = $_POST&#91;'ip'&#93;;
    Das Ganze bei register_globals=off und magic_quotes=off

    Wäre das an Sicherheit ausreichend?
    Wie sieht es zum Beispiel mit dieser Zeile aus:
    Code:
     $text = strip_tags&#40;$text, '<a>'&#41;;
    Ich erlaube dem Nutzer ja praktisch, <a> Tags im Post zu verwenden. Angenommen, ein User versteckt in diesem Tag böses Js als Attribut. Würde strip_tag diesen Entfernen oder ignorieren?

    Was gibt es noch zu beachten (abgesehen von dem include, unter realen Bedingungen käme das von woanders)?



    Danke euch für Antworten und Anregungen,
    Jojo
    Achtung: Dies ist ein alter Thread im HTML und Webmaster Forum
    Diese Diskussion ist älter als 90 Tage. Die darin enthaltenen Informationen sind möglicherweise nicht mehr aktuell. Erstelle bitte zu deiner Frage ein neues Thema im Forum !!!!!

  2. #2
    Azubi(ne)
    Registriert seit
    24.06.2007
    Ort
    127.0.0.1
    Beiträge
    78
    Danke
    0
    Bekam 0 mal "Danke" in 0 Postings

    Standard

    Als Schutz vor Spammern könnte man noch einen Zufälligen Sicherheitscode generieren lassen, und diesen jedesmal vor Posten eines Beitrags ins Gästebuch abfragen lassen.

  3. #3
    König(in)
    Registriert seit
    06.06.2007
    Ort
    Bi
    Beiträge
    1.015
    Danke
    0
    Bekam 0 mal "Danke" in 0 Postings

    Standard

    Also deine Fragen zu strip-tags werde n auf dem Link beantwortet, ich würde dir aber eher zu htmlspecialchars raten.
    Sämtlicher Code erhebt keinen Anspruch auf syntaktische Korrektheit geschweige denn Ausführbarkeit und ist für die Implementation außerhalb der Beispiele nicht geeignet.

    Kein Support für kommerzielle Scripts | Kein kostenloser Support via ICQ

  4. #4
    der/die Göttliche
    Themenstarter
    Avatar von jojo87
    Registriert seit
    23.03.2007
    Ort
    Leipzig
    Alter
    30
    Beiträge
    3.131
    Danke
    0
    Bekam 0 mal "Danke" in 0 Postings

    Standard

    Zitat Zitat von K.Y.L.T.
    Also deine Fragen zu strip-tags werde n auf dem Link beantwortet, ich würde dir aber eher zu htmlspecialchars raten.
    Würde also nur BBcode bleiben, um z.Bsp. das Posten von Links zu erlauben.
    Ansonsten macht es doch eigentlich keinen Unterschied, ob man strip_tags oder htmlspecialchars verwendet, oder? "Vernichtet" doch beides recht efektiv jeden Versuch, Code in die Datenbank einzuschleusen.

    @Spacefish
    Is schon klar. Das Ganze hat jetzt auch nicht den Anspruch, ein tolles Gästebuch zu werden. Ist eher zur Übung zwecks Datenbanksicherheit. Übrigens halte ich die Methode, Sessions zu verwenden, für besser als diese Captchas. Kaum ein Bot meldet sich jedesmal wieder neu über die Indexseite an und gibt auf. Trotzdem Danke.

  5. #5
    Forum Guru
    Registriert seit
    28.12.2004
    Ort
    Ringgenberg(bei Interlaken) / Schweiz
    Beiträge
    4.787
    Danke
    0
    Bekam 0 mal "Danke" in 0 Postings

    Standard

    jojo hat recht mit dem bbcode
    Code:
    <a onlick="for&#40;var i =0; i<1000 ; i++&#41; alert&#40;'bitte click mich'&#41;;">hier gehts weiter</a>
    ansonsten noch ein captcha gegen den spam
    deien mail prüfung läst
    lamerATaol.de; BCC: spamATsadasd.de, ganzeATviele.do;
    zu.

    dann noch sicher kein mysql_real_escape genutzt.... womit ich auch noch niedliche sql injections machen kann

  6. #6
    der/die Göttliche
    Themenstarter
    Avatar von jojo87
    Registriert seit
    23.03.2007
    Ort
    Leipzig
    Alter
    30
    Beiträge
    3.131
    Danke
    0
    Bekam 0 mal "Danke" in 0 Postings

    Standard

    Zitat Zitat von GreenRover
    deien mail prüfung läst
    lamerATaol.de; BCC: spamATsadasd.de, ganzeATviele.do;
    zu.
    Jaja, die ersten Gehversuche mit RegEx
    Man verzeihe mir
    Funktioniert addslashes() nicht ähnlich wie mysql_real_escape_string()?
    Das maskiert php-relevante Zeichen doch genauso, oder etwa nicht?
    Danke schonmal für die Mühe, den RegEx zu testen

  7. #7
    Meister(in)
    Registriert seit
    20.05.2005
    Ort
    Rheinland-Pfalz
    Beiträge
    275
    Danke
    0
    Bekam 0 mal "Danke" in 0 Postings

    Standard

    Zitat Zitat von GreenRover
    jojo hat recht mit dem bbcode
    Code:
    <a onlick="for&#40;var i =0; i<1000 ; i++&#41; alert&#40;'bitte click mich'&#41;;">hier gehts weiter</a>
    Lol GreenRover, das is ja fast ne Endlosschleife oder versteh ich das Falsch? ^^

Ähnliche Themen

  1. bitte um bewertung
    Von tomturbo im Forum Eure Homepages und Foren - Vorstellung und Bewertungen
    Antworten: 8
    Letzter Beitrag: 18.06.2007, 17:44
  2. Bitte um Bewertung
    Von Gast im Forum Eure Homepages und Foren - Vorstellung und Bewertungen
    Antworten: 5
    Letzter Beitrag: 28.04.2007, 14:15
  3. bitte um bewertung
    Von tomturbo im Forum Eure Homepages und Foren - Vorstellung und Bewertungen
    Antworten: 6
    Letzter Beitrag: 14.02.2007, 16:05
  4. Bitte um bewertung
    Von Schodn im Forum Eure Homepages und Foren - Vorstellung und Bewertungen
    Antworten: 3
    Letzter Beitrag: 24.11.2006, 14:52
  5. Bitte um bewertung
    Von BendOr im Forum Eure Homepages und Foren - Vorstellung und Bewertungen
    Antworten: 6
    Letzter Beitrag: 23.09.2006, 16:26

Stichworte

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •