Guten Tag,
also ich wollte demnächst, also im Laufe der nächsten Woche mein erstes Skript veröffentlichen. Also die erste Version ist also quasi fertig.

Mein Befürchtung ist, dass ich irgendwo Sicherheitslücken hinterlassen habe. Da ich aber PHP Neuling bin, ist es nicht leicht für mich so etwas aufzudecken.

Ist jemand bereit mir dabei zu helfen?

Mfg Don Colleone

Mist kann das bitte ein Moderator verschieben, das sollte eigentlich in die Testecke, hatte mich verklickt

Tut mir Leid... :-(

Ist jemand bereit mir dabei zu helfen?


nun... ohne link wird das schwer ;)

nun... ohne link wird das schwer ;)

und ohne einblick in den code auch :-)

Jo deswegen wollte ich ja auch, dass sich jemand meldet^^ wollte ja nciht, dass da jeder Hans und Franz draufgeht und erstmal fleißig was raussucht und das dann verschweigt und ausnutzt.

Ich schreibe dir ne PN

Hi,

das ist nicht Sinn eines Forums/Boards!!!! Wenn dir jemad helfen soll oder du Fragen hast dann solltest du auch alles offen legen - nur so kann geholfen werden. PM sind in diesem Augenblick nicht sinnvoll - dann kann ich auch gleich den Beitrag löschen!!!!!!

Damir

wollte ja nciht, dass da jeder Hans und Franz draufgeht und erstmal fleißig was raussucht und das dann verschweigt und ausnutzt.
Sicherheit durch Verschweigen der Fehler? Da lügst Du Dir was in die Tasche...

Jo deswegen wollte ich ja auch, dass sich jemand meldet^^ wollte ja nciht, dass da jeder Hans und Franz draufgeht und erstmal fleißig was raussucht und das dann verschweigt und ausnutzt.

Ich schreibe dir ne PN

sorry, aber du musst schon die betreffenden code-stellen zeigen. dass ich bei den koordinaten auch x und ö eintragen kann, ist zwar sinnfrei, aber lässt böses erahnen...

Ich würd auch mal sagen...
wenn du uns den Code gibst und den Sinn des ganzen sagst... wird es für uns alle wesentlich einfacher^^

mfg

Also, ich meinte, dass ihr mal guckt ob ihr Sicherheitslücken entdeckt, durch die man Daten in verschiedenster Weise manipulieren kann.

Deshalb denke ich, dass es ebenso sinnfrei ist, den kompletten Quellcode hier reinzuschreiben oder hier zu veröffentlichen, immerhin sind das einige Dateien.

dass ich bei den koordinaten auch x und ö eintragen kann, ist zwar sinnfrei, aber lässt böses erahnen

Dazu ist zu sagen, dass das eigentlich kein Problem ist, da werde ich mir noch ein nettes Javaskript reinbauen, das solche Eingaben verhindert.
Wie oben gesagt, dachte ich eher an Sicherheitslücken der Rechtevergabe bzw. der Benutzerdaten.

Aber um hier nochmal wenigstens den Zugang zu eröffnen:
Link: http://dbsp.dc-zone.de
Benutzer: tester
Passwort: selfphp
Dieser Benutzer hat zur Zeit Moderatorenrechte.

den Sinn des ganzen sagst
Der Sinn dieses Programms ist folgender. In dem Browserspiel Space-Pioneers dreht sich eigentlich alles um Koordinaten und diverse andere Daten der Mitspieler. Um diese der eigenen Allianz einfach weitergeben zu können, ist diese Datenbank entwickelt worden

Dazu ist zu sagen, dass das eigentlich kein Problem ist, da werde ich mir noch ein nettes Javaskript reinbauen, das solche Eingaben verhindert.


schalt ich eben javascript aus...


Also, ich meinte, dass ihr mal guckt ob ihr Sicherheitslücken entdeckt, durch die man Daten in verschiedenster Weise manipulieren kann.

Das kann man am besten wenn man sieht wie du die eingegebenen Daten prüfst...

schalt ich eben javascript aus...
Dann eben mit php vorm Speichern der Daten.

Oder ich mach ne Überprüfung davor, ob du Javascript aktiviert hast:
if(javascript!=aktiviert){die("du musst schon javaskript anmachen")}

;-)
nagut ich denke das muss ich anders machen :-D

Dann eben mit php vorm Speichern der Daten.


eingabedaten mit php oder javascript zu validieren, ist ein riesen unterschied...

ja ich weiß javaskript ist erstens leicht zu umgehen undzweitens dient es nur der unterstützung.

ich lass mir da was einfallen.

Habt ihr inzwischen was gefunden?

Ich möchte ja nicht unverschämt klingen, abe rkommt da noch was?

Ich möchte ja nicht unverschämt klingen, abe rkommt da noch was?

von mir nichts, so lange du den code nicht zeigst...

Ach man, ich will doch hier nciht meinen ganzen Quellcode rausrücken. Kannst du das nciht verstehen?

wir warten auf deinen Source...

Ach man, ich will doch hier nciht meinen ganzen Quellcode rausrücken. Kannst du das nciht verstehen?
Musst du ja auch nicht, bloß kannst du dann auch keine Antwort erwarten. Dann bleibt dir noch die Möglichkeit, dir ein paar Hacker zu suchen. Die dein System auf Schwachstellen prüfen.

Ach man, ich will doch hier nciht meinen ganzen Quellcode rausrücken. Kannst du das nciht verstehen?

einerseits könntest du nur die sicherheitskritischen stellen posten. andererseits: natürlich steckt viel fleiß und arbeit deinerseits in dem code, aber: ist etwas an deinem code so innovativ und einzigartig, dass es für dich ein verlust wäre, wenigstens teile zu veröffentlichen?

und wenn du wirklich gar nichts veröffentlichen willst, dann brauchst du entweder eine person deines vertrauens die sich den code anschaut und nicht weitergibt oder du musst selbst dafür sorgen, dass er ausreichend sicher ist.

Und sehe es doch mal so, keiner von uns hat die Lust und Zeit stundenlang irgendetwas auszuprobieren um dein System zu knacken - das ist wie die Suche nach der Stecknadel im Heuhaufen.

Sehen wir aber den Code dann koennen wir direkt sagen ob etwas nicht ok ist - geht schneller....

Damir

Kannst du das nciht verstehen?
Das versteht keiner. Deine Frage bezüglich der Sicherheit kann nur durch Analyse des Scripts beantwortet werden. Da Du dieses nicht nicht posten möchtest, hat sich Deine Frage erledigt.

Ist in Ordnung, ich stelle nächste Woche Montag einen großen Post zu meinem (niedlichen) Skript zusammen. Dieses Wochenende bin ich nämlich nicht am Rechner.

Ich hoffe ihr seid dann noch da ;-D

Also wenn du Formularangaben oder einen Login sichern willst, dann gibt es da ein einfaches Beispiel zu.

Du hast ein Sieb und willst, dass das Wasser nur durch bestimmte Löscher fließt. Du stopfst Loch für Loch, hast aber immer noch nicht dein gewünschtes Ziel. Da ist es doch viel einfacher eine Platte zu nehmen und nur die Löscher reinzuborden, die du haben willst. So kannst du bei PHP dann einfach alles verbieten und nur das erlauben, was du für angemessen findest ;-)