SELFPHP: Version 5.8.2 Befehlsreferenz - Tutorial – Kochbuch – Forum für PHP Einsteiger und professionelle Entwickler

SELFPHP


Professional CronJob-Service

Suche



CronJob-Service    
bei SELFPHP mit ...



 + minütlichen Aufrufen
 + eigenem Crontab Eintrag
 + unbegrenzten CronJobs
 + Statistiken
 + Beispielaufrufen
 + Control-Bereich

Führen Sie mit den CronJobs von SELFPHP zeitgesteuert Programme auf Ihrem Server aus. Weitere Infos



:: Buchempfehlung ::

TYPO3 Kochbuch

TYPO3 Kochbuch zur Buchempfehlung
 

:: Anbieterverzeichnis ::

Globale Branchen

Informieren Sie sich über ausgewählte Unternehmen im Anbieterverzeichnis von SELFPHP  

 

:: Newsletter ::

Abonnieren Sie hier den kostenlosen SELFPHP Newsletter!

Vorname: 
Name:
E-Mail:
 
 

Zurück   PHP Forum > SELFPHP > PHP für Fortgeschrittene und Experten

PHP für Fortgeschrittene und Experten Fortgeschrittene und Experten können hier über ihre Probleme und Bedenken talken

Antwort
 
Themen-Optionen Ansicht
  #1  
Alt 02.04.2006, 20:45:41
Balum82
Guest
 
Beiträge: n/a
PHP sicher programmieren

Vor etwa drei Wochen hat einer mein eMailforumular für Spam missbraucht. Ich versuche ich mich mit sicherem PHP programmieren auseinandere zu setzen. Bis jetzt hab ich nur wenige gute Links gefunden, vielleicht kennt ihr ja bessere.
Vielleicht kennt einer ja auch ein Tutorial, wie man konsequent sicher programmiert.

Hier zwei coole und wichtige Links mit Kommentar:
XSS Wikipedia Artikel ist eine gute Basis
Exploit Developer Ein Blog von einem Kerl der Sicherheitslücken finden und veröffentlicht

Geändert von Balum82 (02.04.2006 um 20:47:14 Uhr)
Mit Zitat antworten
  #2  
Alt 02.04.2006, 22:25:42
Heinrich Heinrich ist offline
Member
 
Registriert seit: Feb 2006
Beiträge: 883
AW: PHP sicher programmieren

Hi,

bin gerade am selben Thema. Falls du auch liest:
"Christopher Kunz - Peter Prochaska: PHP-Sicherheit (dpunkt.verlag) - kostet halt schlappe 36 Euro. Die Jungs scheinen aber echt Profis zu sein - zu PHP und MySQL.

Deine Formular sicherst du am besten mit Prüfungen, ob der Datentyp stimmt, bestimmte Eigenschaften (z.B. Länge) und ob der Inhalt stimmt (Zahlen oder Buchstaben oder Mailsyntax).

Mit strip_tags() kannst du html- und schript-tags aus den Eingaben entfernen.

Gruß
Heinrich
Mit Zitat antworten
  #3  
Alt 02.04.2006, 22:30:40
Opendix Opendix ist offline
Senior Member
 
Registriert seit: Oct 2004
Ort: Werdenberg / Schweiz
Alter: 35
Beiträge: 1.476
AW: PHP sicher programmieren

was aber nicht gerade vile gegen spambots bringt... dafür müsstest du wohl irgend sowas einbauen das man aus einem bild irgednwelche zahlen erkenne muss...
__________________
Opendix lehnt jegliche Haftung für evtl. vorhandene Fehler in der Grammatik sowie der Satzstellung ab! Bitte wenden Sie sich an die Tastatur!

Betatester gesucht:
Skiclub Gams / CEVI Grabs
Mit Zitat antworten
  #4  
Alt 03.04.2006, 10:03:49
Franzx Franzx ist offline
Junior Member
 
Registriert seit: Nov 2005
Ort: Bremen
Beiträge: 437
AW: PHP sicher programmieren

Zitat:
Zitat von Opendix
was aber nicht gerade vile gegen spambots bringt... dafür müsstest du wohl irgend sowas einbauen das man aus einem bild irgednwelche zahlen erkenne muss...
Leider bringt die Zahlen-Bildergeschichte aber andere Probleme mit sich. Ich beschäftige mich nun schon eine ganze Weile mit Barrierefreiem Web und demzufolge ist dies eine Barriere. Diese nun beabsichtigte Barriere gegen Spammer schließt auch viele mögliche Nutzer aus, die bei der Nutzung des Internets auf Hilfsmittel angewiesen sind, wie z.B. einem Screenreader. Dieser Screenreader kann keine Bilder lesen und somit würde die Kontaktaufnahme durch den User nicht möglich sein.

Ich wollte dies nur mal erwähnen, da diese Thema doch mehr Beachtung braucht. Viele gute Infos gibt es unter http://www.barrierefreies-webdesign.de/

cu,
Franzx
Mit Zitat antworten
  #5  
Alt 03.04.2006, 18:57:46
Heinrich Heinrich ist offline
Member
 
Registriert seit: Feb 2006
Beiträge: 883
AW: PHP sicher programmieren

Zitat:
Zitat von Opendix
was aber nicht gerade vile gegen spambots bringt... dafür müsstest du wohl irgend sowas einbauen das man aus einem bild irgednwelche zahlen erkenne muss...
Hi,

das gibt keine 100%ige Sicherheit. Aber mit einigen Überprüfungen z.B.
preg_match => kein @ außer in Mail-Feldern,
is_numeric => hier nur Zahlen,
strlen => Längenüberprüfung der Eingabe,
Whitelist für Auswahlfelder
usw.
machst du denen schon einige Schwierigkeiten.

Habe eine Webseite, die heftig heimgesucht wird. Beim Formular ist seit den Überprüfungen Ruhe.

Gruß
Heinrich
Mit Zitat antworten
  #6  
Alt 03.04.2006, 20:59:53
Balum82
Guest
 
Beiträge: n/a
AW: PHP sicher programmieren

Danke für die Tipps ... ich werde mal diese Woche mal dran was tun - solange bleibt das Formular off.
Mit Zitat antworten
  #7  
Alt 03.04.2006, 23:47:41
Benutzerbild von meikel (†)
meikel (†) meikel (†) ist offline
SELFPHP Guru
 
Registriert seit: Dec 2003
Ort: Erfurt
Alter: 75
Beiträge: 4.001
AW: PHP sicher programmieren

Zitat:
Zitat von Franzx
Leider bringt die Zahlen-Bildergeschichte aber andere Probleme mit sich. Ich beschäftige mich nun schon eine ganze Weile mit Barrierefreiem Web und demzufolge ist dies eine Barriere.
Ein barrierefreies Mail-/Kontaktformular, welches SPAM erschwert oder gar verhindert, ist technisch nicht realisierbar. Chaptcha wird ja genau deshalb eingesetzt, damit es nicht automatisch gelesen werden kann.

Wer also barrierefrei programmieren will, muß entweder mit dem SPAM und anderen Unfug leben oder auf Scripte, bei denen User Texte veröffentlichen oder Kontaktformulare ausfüllen können, verzichten.

Geändert von meikel (†) (03.04.2006 um 23:48:16 Uhr)
Mit Zitat antworten
  #8  
Alt 04.04.2006, 00:02:58
sysop sysop ist offline
Member
 
Registriert seit: Mar 2004
Ort: wien
Beiträge: 512
AW: PHP sicher programmieren

ich habe mir da übrigens auch was einfallen lassen. ich gehe davon aus, dass niemand innerhalb von 30 sekunden 2 mails versendet und mache das so:

ich sichere einen timestamp in den sessions und lasse ein erneutes versenden einer mail erst 30 sekunden später zu. kommt früher einer anfrage (per script z.b.) wird man rausgeworfen.

hilft zwar auch nicht 100% aber erschwert doch das versenden per script.

Geändert von sysop (04.04.2006 um 00:03:38 Uhr)
Mit Zitat antworten
  #9  
Alt 04.04.2006, 05:01:13
Benutzerbild von meikel (†)
meikel (†) meikel (†) ist offline
SELFPHP Guru
 
Registriert seit: Dec 2003
Ort: Erfurt
Alter: 75
Beiträge: 4.001
AW: PHP sicher programmieren

Zitat:
Zitat von sysop
hilft zwar auch nicht 100% aber erschwert doch das versenden per script.
Das hilft überhaupt nicht. Das SPAM Script verweigert die Annahme des Cookies, merkt sich aber SessionName und SessionID. Der nächste Request fordert das Formular an. Dabei schickt das SPAM Script die Session per GET mit. Der letzte Request ist ein POST Request mit dem Müll. Und dann fängt alles wieder von vorn an: kein Keks & keine Session = "neuer" User.

An einer gewollten Barriere führt da absolut kein Weg vorbei. Und damit auch keine OCR Tools was ausrichten können, muß das Captcha Bild so maschinenunlesbar wie möglich sein.

Einem sehbehinderten Menschen kann es wirklich zugemutet werden, mal den Nachbarn oder den Ehepartner zu bemühen, damit ein "offenes Mail-/Kontaktformular" nicht zur massiven SPAM Schleuder mutiert, unter der dann wesentlich mehr Leute zu leiden hätten.

Geändert von meikel (†) (04.04.2006 um 05:02:25 Uhr)
Mit Zitat antworten
  #10  
Alt 04.04.2006, 11:13:25
Franzx Franzx ist offline
Junior Member
 
Registriert seit: Nov 2005
Ort: Bremen
Beiträge: 437
AW: PHP sicher programmieren

Hallo meikel, ich bin so frei antworte hier gleich auf zwei deiner Postings in diesem Thread.
Zitat:
Zitat von meikel
Wer also barrierefrei programmieren will, muß entweder mit dem SPAM und anderen Unfug leben oder auf Scripte, bei denen User Texte veröffentlichen oder Kontaktformulare ausfüllen können, verzichten.
Das sehe ich aber schon anders. Das ist doch eine reine Entwicklungsfrage. Je mehr Leute sich daran setzen um eine Lösung zu finden um so schneller wird dies realisierbar sein.
Früher konnten Rollstuhlfahrer in keine Bus rein, heute werden die Busse, Strassenbahnen so gebaut. Es geht und es macht sich keiner mehr Gedanken darüber.
Wenn ich mir die Entwicklung im Automobilbau ansehe und den Fahrerleitsystemen so werden blinde Menschen bald ohne weiteres auch ans Steuer eines Autos können.
Zitat:
Zitat von meikel
Einem sehbehinderten Menschen kann es wirklich zugemutet werden, mal den Nachbarn oder den Ehepartner zu bemühen, ...
Ohne dich persönlich anzugreifen, aber dieser Spruch ist doch sehr anmaßend und antiquiert. Früher hat man die Blinden verhungern lassen, da sie keinen "Nutzen" hatten, für die Gesellschaft.

Es tut mir leid, aber wir leben nicht mehr in der Steinzeit.

cu,
Franzx
Mit Zitat antworten
Antwort


Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)
 
Themen-Optionen
Ansicht

Forumregeln
Es ist Ihnen nicht erlaubt, neue Themen zu verfassen.
Es ist Ihnen nicht erlaubt, auf Beiträge zu antworten.
Es ist Ihnen nicht erlaubt, Anhänge hochzuladen.
Es ist Ihnen nicht erlaubt, Ihre Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind aus.
[IMG] Code ist aus.
HTML-Code ist aus.

Gehe zu

Ähnliche Themen
Thema Autor Forum Antworten Letzter Beitrag
Ich will mir einen Counter mit php und MySQL programmieren... Chrissitopher PHP Grundlagen 5 21.02.2006 08:52:32
Allgemeine Frage zu Versionen php 4 und 5 hermes PHP Grundlagen 7 19.08.2005 19:16:41
Wie man durch PHP von der Schule fliegen kann?! Jacki Off Topic Area 2 06.08.2004 13:20:39
Quiz Programmieren mit PHP Seoman PHP für Fortgeschrittene und Experten 16 14.05.2003 20:34:19
Einführung in PHP und Datenbanken Lómion PHP für Fortgeschrittene und Experten 7 07.02.2002 14:47:29


Alle Zeitangaben in WEZ +2. Es ist jetzt 08:14:53 Uhr.


Powered by vBulletin® Version 3.8.3 (Deutsch)
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.


© 2001-2024 E-Mail SELFPHP OHG, info@selfphp.deImpressumKontakt