PHP-Skripte gegen Hacker sicher machen

[MatMel]

Zitat:

Zitat von meikel

Joomla ist genaugenommen auch nur "von anderen Selbstgestricktes". Ich halte es für falsch, wenn der Eindruck vermittelt wird, wenn man Joomla einsetzt, ist man bezüglich der Sicherheit alle Sorgen los. Ich zumindest lege bezüglich der Sicherheit für andere Programmierer nie-nicht-niemals die Hand ins Feuer.

Das du als Profi das so sagen kannst ist klar...
Aber ob jemand, der nach eigener Aussage "mal was davon gehört hat, dass es sich lohnt Escape Zeichen oder so abzufangen" der Sachen besser gewachsen ist, als die Entwickler von Joomla halt ich für fragwürdig ;)
Aber nichts gegen den Threadersteller ... es lohnt sich so oder so was über die Sicherheit zu wissen !

1. Alles was vom Browser kommt pingelig überprüfen!!
auch $_SERVER['PHP_SELF']

2. Auf globale Variablen verzichten
auch wegen evtl register_globals=on

3. wo es nur geht und Sinn macht, dieses einsetzen:
mysql_real_escape_string
strip_tags
htmlentities

4. Sessions nur mit Cookies erlauben, also kein trans_sid


Das ist jetzt nur so eine grobe Richtlinie...

[meikel (†)]

Zitat:

Zitat von rambi

1. Alles was vom Browser kommt pingelig überprüfen!!
auch $_SERVER['PHP_SELF']

Jau. Ich verwende $_SERVER['SCRIPT_NAME']. Das kann nicht manipuliert werden.

Zitat:

Das ist jetzt nur so eine grobe Richtlinie...

Der "Rest" ist mühsame Handarbeit... <g>

[ricardo1885]

Wie ist das eigentlich mit der Verwendun von Objekten unter PHP? Gibt es da auch Sachen, auf die ich achten muss, wenn ich eine maximal hohe Sicherheit möchte?

[feuervogel]

Zitat:

Zitat von ricardo1885

Wie ist das eigentlich mit der Verwendun von Objekten unter PHP? Gibt es da auch Sachen, auf die ich achten muss, wenn ich eine maximal hohe Sicherheit möchte?

Konkrete Antworten auf solche Fragen kann es nicht geben, stelle konkrete Fragen.

[ricardo1885]

Hat sich gerade geklärt.