SELFPHP: Version 5.8.2 Befehlsreferenz - Tutorial – Kochbuch – Forum für PHP Einsteiger und professionelle Entwickler

SELFPHP


Professional CronJob-Service

Suche



CronJob-Service    
bei SELFPHP mit ...



 + minütlichen Aufrufen
 + eigenem Crontab Eintrag
 + unbegrenzten CronJobs
 + Statistiken
 + Beispielaufrufen
 + Control-Bereich

Führen Sie mit den CronJobs von SELFPHP zeitgesteuert Programme auf Ihrem Server aus. Weitere Infos



:: Buchempfehlung ::

Webseiten professionell erstellen

Webseiten professionell erstellen zur Buchempfehlung
 

:: Anbieterverzeichnis ::

Globale Branchen

Informieren Sie sich über ausgewählte Unternehmen im Anbieterverzeichnis von SELFPHP  

 

:: Newsletter ::

Abonnieren Sie hier den kostenlosen SELFPHP Newsletter!

Vorname: 
Name:
E-Mail:
 
 

Zurück   PHP Forum > SELFPHP > PHP Entwicklung und Softwaredesign

PHP Entwicklung und Softwaredesign Hier können strukturelle (Programmier-) Konzepte diskutiert und Projekte vorgestellt werden

Antwort
 
Themen-Optionen Ansicht
  #1  
Alt 28.09.2009, 23:35:43
R4Zz0R R4Zz0R ist offline
Junior Member
 
Registriert seit: Sep 2009
Ort: Wetzlar/Kassel
Alter: 35
Beiträge: 201
Sicherheit.

Hallo Leute.

Ich wollte mir mal einen einblick verschaffen was ihr von selbstgebastelten "Sicherheits"
abfragen haltet.

Beispielcode:
Code:
//Anfang der seite mit session und ect.
//nun zum status.
$login="0";
//noch mehr code den ihr braucht.

//ausgabe der seite fals login false

if ($login=="0") {

print ("Du bist nicht berechtigt diese seite anzuzeigen.");

}

else {

print ("Willkommen auf der Seite mit ausgabe");

}
Um die variable $login vor veränderungen zu schützen benutze ich sessions und keine cookies.

Was denkt ihr dazu?.

MFG R4Zz0R
Mit Zitat antworten
  #2  
Alt 29.09.2009, 11:08:35
cortex cortex ist offline
SELFPHP Profi
 
Registriert seit: Apr 2008
Alter: 48
Beiträge: 1.938
AW: Sicherheit.

Zitat:
Zitat von R4Zz0R Beitrag anzeigen
Um die variable $login vor veränderungen zu schützen benutze ich sessions und keine cookies.
die überlegung session vs. cookies ist an dieser stelle unangebracht, da es zwei verschiedene - und nicht konkurrierende - themen sind.

für eine weiterführende diskussion erkläre bitte dein anliegen, deine bedenken und deine bisherigen ansätze etwas genauer.

cx
Mit Zitat antworten
  #3  
Alt 29.09.2009, 20:28:35
R4Zz0R R4Zz0R ist offline
Junior Member
 
Registriert seit: Sep 2009
Ort: Wetzlar/Kassel
Alter: 35
Beiträge: 201
AW: Sicherheit.

Mein anliegen ist eigentlich nur für wie sicher ich es halten kann wen ich (wie ich es mache)
In meinen seiten bestimmte statusabfragen wie zb.

$login=="";

ect. mache und ob ihr mir eventuell andere möglichkeiten empfehlen würdet.

MFG

R4Zz0R
Mit Zitat antworten
  #4  
Alt 30.09.2009, 00:05:46
R4Zz0R R4Zz0R ist offline
Junior Member
 
Registriert seit: Sep 2009
Ort: Wetzlar/Kassel
Alter: 35
Beiträge: 201
AW: Sicherheit.

Sry warscheinlich falsch formuliert.

Ich versuche das schon länger hinzubekommen bis jetzt klappt alles einwandfrei.
Doch je weiter ich in die administration und rechtevergabe komme desto mehr versuche ich lücken auszuschließen mit der sich benutzer unberechtigt zugriff auf zb. die benutzerverwaltung zu gelangen.

Meine bisherigen ergebnisse sind schon recht gut, auch vor session hijacking bin ich mit einem selbsterarbeiteten script geschützt. Auch wenn ich sicher bin das es immer eine möglichkeit gibt
an das zu gelangen was man nicht haben soll besonders bei solchen themen.
Deswegen wollte ich mir einen Rat einholen was andere davon denken.
Mit Zitat antworten
  #5  
Alt 30.09.2009, 13:05:59
feuervogel feuervogel ist offline
SELFPHP Guru
 
Registriert seit: Jan 2004
Ort: Leipzig
Beiträge: 4.549
AW: Sicherheit.

Zitat:
Zitat von R4Zz0R Beitrag anzeigen
Sry warscheinlich falsch formuliert.

Ich versuche das schon länger hinzubekommen bis jetzt klappt alles einwandfrei.
Doch je weiter ich in die administration und rechtevergabe komme desto mehr versuche ich lücken auszuschließen mit der sich benutzer unberechtigt zugriff auf zb. die benutzerverwaltung zu gelangen.

Meine bisherigen ergebnisse sind schon recht gut, auch vor session hijacking bin ich mit einem selbsterarbeiteten script geschützt. Auch wenn ich sicher bin das es immer eine möglichkeit gibt
an das zu gelangen was man nicht haben soll besonders bei solchen themen.
Deswegen wollte ich mir einen Rat einholen was andere davon denken.
die sache ist einfach, dass du uns den gesamten sicherheitsrelevanten code verschweigst, denn an den drei bisher geposteten zeilen kann man nicht unbedingt eine sicherheitslücke festmachen. abgesehen davon ist das was du machst nicht besonders kompliziert: wenn ein nutzer eingeloggt ist, darf er eine seite sehen, sonst nicht. ein ausgefeiltes rechtemanagement sieht da schon etwas anders (weniger trivial) aus, ist aber für deinen fall wahrscheinlich nicht notwendig.
Mit Zitat antworten
  #6  
Alt 30.09.2009, 13:25:10
cortex cortex ist offline
SELFPHP Profi
 
Registriert seit: Apr 2008
Alter: 48
Beiträge: 1.938
AW: Sicherheit.

hallo R4Zz0R,

hiermit

Zitat:
Zitat von R4Zz0R Beitrag anzeigen
Deswegen wollte ich mir einen Rat einholen was andere davon denken.
bist du in diesem unterforum erst einmal gut aufgehoben. allerdings ist mir die stossrichtung deiner bedenken immer noch nicht klar geworden:

Zitat:
Zitat von R4Zz0R Beitrag anzeigen
Ich versuche das schon länger hinzubekommen [...]
was ist denn das?

Zitat:
Zitat von R4Zz0R Beitrag anzeigen
desto mehr versuche ich lücken auszuschließen mit der sich benutzer unberechtigt zugriff auf zb. die benutzerverwaltung zu gelangen.
wodurch könnte deiner meinung nach solch eine lücke entstehen und wie könnte diese ausgenutzt werden?

Zitat:
Zitat von R4Zz0R Beitrag anzeigen
vor session hijacking bin ich mit einem selbsterarbeiteten script geschützt
glaubst du wirklich - wie sieht dein skript aus?

cx
Mit Zitat antworten
  #7  
Alt 30.09.2009, 18:19:27
R4Zz0R R4Zz0R ist offline
Junior Member
 
Registriert seit: Sep 2009
Ort: Wetzlar/Kassel
Alter: 35
Beiträge: 201
AW: Sicherheit.

@cortex

Mein script arbeite mit ip & clientüberprüfung (Browserinformationen ) gegen session hijacking (auserdem funktioniert es ja nichteinmal wenn ich mich am selben pc (bei eingeloggten benutzer ) mit der selben sessionid nochmal versuche ein fenser zu öffnen

Den relevanten code kann ich momentan leider nicht posten da ich gerade noch nicht zuhause bin.
Mir ging es auch nicht um meinen code der ja so weit funktioniert sondern um
die algemeine frage ob so etwas sicher genug ist für eine webanwendung oder ob es über
diese art und weise mehr sicherheitslücken auftreten können und ob es bestimmte dinge gibt die ich eventuell zu beachten habe. Oder was ich besser machen könnte.
Mit Zitat antworten
  #8  
Alt 30.09.2009, 18:30:01
DokuLeseHemmung DokuLeseHemmung ist offline
SELFPHP Experte
 
Registriert seit: Jun 2008
Alter: 15
Beiträge: 2.269
AW: Sicherheit.

Zitat:
und ob es bestimmte dinge gibt die ich eventuell zu beachten habe. Oder was ich besser machen könnte.
Massig!
Obwohl das Scriptchen so winzig ist.

1. globale Variablen öffnen unerwünschten Seiteneffekten Tür und Tor
2. bei Vergleichen könntest du die Konstante nach links setzen
3. Warum kein typesicherer Vergleich?
4. Wieso sehe ich da keinerlei OOP Konzept?
Mit Zitat antworten
  #9  
Alt 30.09.2009, 19:07:32
R4Zz0R R4Zz0R ist offline
Junior Member
 
Registriert seit: Sep 2009
Ort: Wetzlar/Kassel
Alter: 35
Beiträge: 201
AW: Sicherheit.

2. bei Vergleichen könntest du die Konstante nach links setzen
^^? im quelltext nach links oder nach einem link?

3. Warum kein typesicherer Vergleich?
^^ ich hab eine andere phpversion angefangen zu lernen und man sagt ja versuch macht klug also versuche ich mir das mit meinen jetzigen php-kentnissen so gut wie möglich zu gestalten und von typesicher hab ich leider bis jetzt noch nichts gehört
4. Wieso sehe ich da keinerlei OOP Konzept?
^^OOP ???sry auch noch nicht bei mir durchgedrungen bin nur aus hobby zu php gekommen
deswegen lern ich mir gerne an aber brauch nen link wenn es geht.

Ach ja angefangen hab ich mit dem buch

PHP - rororo Grundkurs Computerpraxis: Webseiten Dynamisch Programmieren

mit php halt und deswegen musste ich mir schon einiges zb über sessions anlesen um überhaupt zu meiner seite zu kommen.

MFG

R4Zz0R
Mit Zitat antworten
  #10  
Alt 30.09.2009, 19:22:00
DokuLeseHemmung DokuLeseHemmung ist offline
SELFPHP Experte
 
Registriert seit: Jun 2008
Alter: 15
Beiträge: 2.269
AW: Sicherheit.

2+3:

PHP-Code:
// wenn man 
if ($login=="0")
// schreibt, 
//dann könnte man versehentlich ein = vergessen
// so wirds eine Zuweisung
if ($login="0"// verfälscht unabsichtlich $login, ohne error


//Um das zu vermeiden:
if ("0" == $login)
// oder so:
if (== $login// automatische Typekonvertierung
if (=== $login// Typesicher

// dieses würde einen Fatal Error Werfen
if ("0" $login
Und das hat nichts mit der PHP Version zu tun.!.!

4: http://www.peterkropff.de/site/php/oop.htm
Mit Zitat antworten
Antwort


Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)
 
Themen-Optionen
Ansicht

Forumregeln
Es ist Ihnen nicht erlaubt, neue Themen zu verfassen.
Es ist Ihnen nicht erlaubt, auf Beiträge zu antworten.
Es ist Ihnen nicht erlaubt, Anhänge hochzuladen.
Es ist Ihnen nicht erlaubt, Ihre Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind aus.
[IMG] Code ist aus.
HTML-Code ist aus.

Gehe zu

Ähnliche Themen
Thema Autor Forum Antworten Letzter Beitrag
Sicherheit bei automatischer Verlinkung (BBCode) mgutt PHP Entwicklung und Softwaredesign 9 08.03.2009 15:06:10
sicherheit mysqlinjection und co stefanie35 PHP Grundlagen 1 15.10.2008 16:58:59
Gern gesehenes Thema: Sicherheit... Isocrateus PHP für Fortgeschrittene und Experten 15 29.07.2005 11:22:17
Sicherheit bei Passwortabfrage shizo PHP für Fortgeschrittene und Experten 4 29.06.2005 14:03:50
Wichtig: Upload Script auf FTP-Server und dessen Sicherheit? Supernova PHP für Fortgeschrittene und Experten 5 21.07.2004 12:41:52


Alle Zeitangaben in WEZ +2. Es ist jetzt 09:57:43 Uhr.


Powered by vBulletin® Version 3.8.3 (Deutsch)
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.


© 2001-2024 E-Mail SELFPHP OHG, info@selfphp.deImpressumKontakt