Ergebnis 1 bis 4 von 4

Thema: Sicherheitsfrage REMOTE_ADDR

  1. #1
    Unregistriert
    Gast

    Standard Sicherheitsfrage REMOTE_ADDR

    Hallo!

    Ich möchte in ein Form eine IP-Sperre einbauen um nach einer bestimmten Anzahl fehlgeschlagener Loginversuche das Form ne Zeit lang zu sperren.

    Meine DB-Abfrage ob die IP "wieder darf" sieht so aus:
    PHP-Code:
    ip $_SERVER['REMOTE_ADDR'];
    mysql_query("SELECT unlock FROM iplock WHERE ip = '$ip'"); 
    Meine Frage ist jetzt halt ob es sicher ist $_SERVER['REMOTE_ADDR'] einfach so in die Query zu nehmen, oder ob das ne Sicherheitslücke ist.

    Danke schonmal
    Achtung: Dies ist ein alter Thread im HTML und Webmaster Forum
    Diese Diskussion ist älter als 90 Tage. Die darin enthaltenen Informationen sind möglicherweise nicht mehr aktuell. Erstelle bitte zu deiner Frage ein neues Thema im Forum !!!!!

  2. #2
    König(in)
    Registriert seit
    07.02.2009
    Ort
    Leipzig
    Beiträge
    1.391
    Danke
    2
    Bekam 21 mal "Danke" in 20 Postings

    Standard AW: Sicherheitsfrage REMOTE_ADDR

    Die Remote-Addr kann durchaus manipuliert werden. Folglich solltest Du das absichern, mindestens mit mysql_real_escape_string().

  3. #3
    Unregistriert
    Gast

    Standard AW: Sicherheitsfrage REMOTE_ADDR

    Danke für die Antwort!

    Sowas hab ich mir schon gedacht. Mir war vorher schon nicht ganz wohl dabei eine Variablen von "außen" einfach so zu verwenden. Dachte bei $_SERVER wär das anders.
    Außer die vieldokumentierte Lücke bei PHP_SELF und REQUEST_URI, aber zu REMOTE_ADDR hab ich geranichts gefunden.

    Da ich die IP nur speicher und vergleiche und ansonsten nicht weiterverwende, hash ich das Teil einfach mit hash('sha512', $ip)

    Grüße

  4. #4
    Meister(in) Avatar von lukasn
    Registriert seit
    23.02.2008
    Ort
    Schweiz
    Alter
    27
    Beiträge
    491
    Danke
    2
    Bekam 12 mal "Danke" in 11 Postings

    Standard AW: Sicherheitsfrage REMOTE_ADDR

    Es ist zwar immer empfehlenswert, Datenbankeingaben zu escapen, REMOTE_ADDR ist aber im Vergleich zu Werten wie PHP_SELF etc relativ unproblematisch, da REMOTE_ADDR immer die IP des Computers ist, welcher den Request auf deinen Server macht. Das ist zwar nicht unbedingt der Computer der dich interessiert, aber es ist in jedem Fall eine IP-Adresse und daher vergleichsweise unbedenklich, sie kann nicht durch Änderungen am HTTP-Header o.ä. manipuliert werden.

Ähnliche Themen

  1. Sicherheitsfrage
    Von Unregistriert im Forum PHP Forum - Apache - CGI - Perl - JavaScript und Co.
    Antworten: 25
    Letzter Beitrag: 19.06.2009, 14:31
  2. Javascript sicherheitsfrage
    Von im Forum PHP Forum - Apache - CGI - Perl - JavaScript und Co.
    Antworten: 4
    Letzter Beitrag: 25.06.2007, 09:08
  3. Sicherheitsfrage
    Von im Forum PHP Forum - Apache - CGI - Perl - JavaScript und Co.
    Antworten: 3
    Letzter Beitrag: 09.11.2006, 22:37
  4. Sicherheitsfrage bei Loginbereichen
    Von Webmasta im Forum PHP Forum - Apache - CGI - Perl - JavaScript und Co.
    Antworten: 7
    Letzter Beitrag: 19.08.2005, 19:37

Stichworte

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •