Sicherheit einer Website
Hallo zusammen,
bin neu hier im Forum und hoffe das mir jemand von euch ein paar Fragen beantworten kann. Hab vor ca. 1 Monat mit der Programmierung meiner Website in HTML und PHP mit einer MySQL Datenbank angefangen. Noch läuft alles über XAMP, später soll die Seite aber auch ins Netz. Deswegen ist jetzt meine Frage, was man bei der Sicherheit beachten muss. Eingebaut habe ich bis jetzt nur ein Loginscript mit MD5 Passwort Verschlüsselung. Da die website jede Menge Adressdaten und Kontakte enthalten wird, sollte es Unbefungten nicht ohne weiteres möglich sein auf die Daten zuzugreifen. Vielleicht noch zur Info, die Seite wird nicht öffentlich und ist nur für einen begrenzten Benutzerkreis gedacht. sollte also nicht bei Google etc auftauchen. 1. Reicht so ein Login um meine Seite zu schützen? 2. Muss ich meine Daten zwangsweise nochmal mit AES oder sonstwas verschlüssel, damit die Hoster der MySQL DB die Daten nicht im Klartext sehen können? 3. ich hab bau die Verbindung zur Datenbank in einer Header Datei auf, ist das unsicherer als wenn ich die Verbindung vor jedem Zugriff einzel herstelle? Entschuldigt bitte wenn das doofe Fragen sind oder das hier nicht ganz das richtige Forum ist. Hab mir schon eine Menge Beiträge bei Google rausgesucht, aber meistens werd ich da nicht schlau draus, weil es für die meisten wohl selbstverständliche Fakten sind. Vielen Dank schonmal für eure Hilfe oder Infos Gruß |
AW: Sicherheit einer Website
Hi
Zitat:
Zitat:
zu 2. Glaube deine Hoster haben anderes zu tun als datenbanken nach Daten zu durchstöbern ;) (ausser es is vielleicht dein Nachbar den du eh nicht traust) zu 3. unrelevant Hauptsache du baust sie sicher auf ;) vielleicht solltest du dir folgendes anschauen --> (nette keine allgemeinen) tips zur Sicherheit mfg CKaos |
AW: Sicherheit einer Website
Zitat:
Zitat:
Zitat:
Zitat:
links / quellen: cms-sicherheit.de Gesundes Misstrauen - Sicherheit von Webanwendungen Security tips for web developers darüber hinaus ist dieses buch sehr empfehlenswert. cx |
AW: Sicherheit einer Website
Vielen Dank für die Antwort. also nicht falsch verstehen, ich brauch keien Hoch Sicherheits Seite, alle Leute die sich da einloggen kenne ich, es muss also nur das Login passen, die Verbindung zur DB sicher sein und halt die Frage mit dem Hoster, aber das scheint ja nicht so das Problem zu sein ;)
Hier mal mein Code (wenn ich das so posten darf) Login Seite: PHP-Code:
sessionhelper Datei fürs Login System PHP-Code:
Datenbankverbindung PHP-Code:
|
AW: Sicherheit einer Website
ich weiss ehrlich gesagt nicht, wie ich dir an dieser stelle weiterhelfen könnte; denkanstösse und lesenswerte quellen wurden dir bereits genannt. als antwort knallst du mir irgendeinen (veralteten) code vor die füsze, den du irgendwo im netz aufgegabelt hast... prima.
für mich persönlich ist das thema damit beendet. cx |
AW: Sicherheit einer Website
Aber ich sage da mal was zu:
1. exit akzeptiert nur numerische Werte. 2. Die Sesion_Id in $_SESSION zu speichern ist völlig Sinn frei Und warum da die DB Verbindung auf 2 verschiedenen Wegen aufgebaut werden muss, werde ich sicherlich nie verstehen. |
AW: Sicherheit einer Website
Das ist der Code den ich benutze. Den Login hab ich nicht selber geschrieben, sondern hab das Script das ich gefunden habe auf meine Seite angepasst. Was ist daran das Problem?
Bin kein Profi Programmierer sondern habe mir alles stück für stück zusammengesucht und erarbeitet. Bin froh das alles schonmal so läuft wie es soll. Jetzt gehe ich hin und optimiere die einzelnen Scripte. Kann ja nicht jeder direkt Vollprofi sein. Hab mir die Links auch schon angeschaut und durchgelesen, werde acuh versuchen das so umzusetzen. Nur fast jede Seite im Netz gibt zB einen anderen Weg an, wie man eine Verbindung zur DB aufbaut. Hab dann eine genommen und mich gefreut das es funktioniert hat. Deswegen wäre ich jetzt dankbar dafür, wenn ihr mir zumindest sagen könntet, was "veraltet" ist und wo noch was überarbeitet werden muss. @cortex Das mit dem Quellcode war nicht direkt für dich gedacht sondern für deinen Vorredner der nach meinem Code gefragt hatte. Bin dir für deine Tipps dankbar und werde sie versuchen umzusetzen. Zum Thema Loginscript und Code im Netz aufgegabelt: hab mir dazu zich Seiten durchgelesen und dieser Code schien mir davon noch am sinnvollsten, da er preaktisch auch ganz gut funktioniert. Vielleicht hab ich auch nach den falschen Themen gesucht, kann sein, deswegen gibs doch aber Foren wo einem die Leute wenigstens die richtige Richtung zeigen können. @DokuLeseHemmung das mit der Verbindung muss ich noch überarbeiten, die sessionhelper war vom Loginscript, die andere von mir die ich vorher hatte, werds aber noch in eine Datei packen, da es bis jetzt auch so ging. Wieso ist 2. sinnfrei? Wie speichert man denn sonst eine laufende Session? gibs da andere Funktionen für? |
AW: Sicherheit einer Website
Zitat:
Nenne mir bitte nur einen einzigen Grund warum du das tun willst. |
AW: Sicherheit einer Website
Zitat:
Zitat:
Zitat:
Zitat:
Zitat:
Zitat:
nochmal zusammenfassend: arbeite ein paar anständige tutorials durch und sammle eigene (!) erfahrungen. bei konkreten problemen / fragen bist du hier herzlich willkommen. cx |
AW: Sicherheit einer Website
ok danke für eure offene Meinung.
das mit dem Quellcode wusste ich nicht, sorry nochmal dafür. verstehe meistens schon, was die einzelnen Scripte machen, nur da ich sie nicht von mir aus selber aufbauen kann weil wir da einfach die Erfahrung und das Wissen zu fehlt, hab ich mir die Scripte kopiert und dann Stück für Stück angepasst, da sie unter anderem mir neue Funktionen enthalten. Wollte nicht das ihr meinen Quellcode überarbeitet. Ist ein rein privates Projekt für mich, an dem ich mein PHP/MySQL Wissen testen und erweitern will. Finde stuhres abarbeiten von Tutorials ziehmlich öde, weil man kein Ziel hat. Ich probier, neue Sache direkt in die Seite einzuarbeiten und sehe dann ja ob funktioniert hat. Solagen alles läuft sehe ich dann keine Fehler darin. Ich kann ja selber nicht einschätzen ob der Code veraltet ist, weil ich keinen Vergleich habe. Dachte nur das ihr mir als erfahrene Programmierer sagen könnt, ob das so ok und sicher ist, oder ob ich noch was ändern muss. Habe nicht erwartet das ihr mir den Code korrigiert, das war nicht der Grund warum ich hier schreibe Werd mich dann nochmal anlesen und einiges überarbeiten. Vielen Dank für eure Zeit, wenn ich was konkretes habe komme ich nochmal auf euch zurück (wenn ihr dann noch wollt :P ) @DokuLeseHemmung keine Ahnung, mach mich da auch nochmal schlau EDIT: danke für die Links, genau solche Infos hab ich gesucht :) |
Alle Zeitangaben in WEZ +2. Es ist jetzt 10:58:48 Uhr. |
Powered by vBulletin® Version 3.8.3 (Deutsch)
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.