SELFPHP: Version 5.8.2 Befehlsreferenz - Tutorial – Kochbuch – Forum für PHP Einsteiger und professionelle Entwickler

SELFPHP


Professional CronJob-Service

Suche



CronJob-Service    
bei SELFPHP mit ...



 + minütlichen Aufrufen
 + eigenem Crontab Eintrag
 + unbegrenzten CronJobs
 + Statistiken
 + Beispielaufrufen
 + Control-Bereich

Führen Sie mit den CronJobs von SELFPHP zeitgesteuert Programme auf Ihrem Server aus. Weitere Infos



:: Buchempfehlung ::

Fortgeschrittene CSS-Techniken

Fortgeschrittene CSS-Techniken zur Buchempfehlung
 

:: Anbieterverzeichnis ::

Globale Branchen

Informieren Sie sich über ausgewählte Unternehmen im Anbieterverzeichnis von SELFPHP  

 

:: Newsletter ::

Abonnieren Sie hier den kostenlosen SELFPHP Newsletter!

Vorname: 
Name:
E-Mail:
 
 

Zurück   PHP Forum > SELFPHP > PHP Entwicklung und Softwaredesign

PHP Entwicklung und Softwaredesign Hier können strukturelle (Programmier-) Konzepte diskutiert und Projekte vorgestellt werden

Antwort
 
Themen-Optionen Ansicht
  #31  
Alt 18.01.2011, 17:34:08
DokuLeseHemmung DokuLeseHemmung ist offline
SELFPHP Experte
 
Registriert seit: Jun 2008
Beiträge: 2.269
DokuLeseHemmung befindet sich auf einem aufstrebenden Ast
AW: Framework ? ...

Zitat:
Sollte das der fall sein das jemand von ausen versucht die funktionen auszuführen wird einfach alles entfernt so hoff ich halt das ich so wenig probleme wie möglich bekomm.
Wie sollte denn jemand von außen eine Funktion aufrufen können?
UNMÖGLICH!
Es sei denn du schaffst Mittel und Wege, dass dieser Angriff durchgeführt werden kann.


In den vorherigen Postings schreibst du auch irgendwas von "Session Variablen prüfen". Das hört sich so an, als würdest du der Sessionverwaltung nicht vertrauen. Als wären die Sessiondaten von außen manipulierbar...
Das sind sie nicht.
Es sei denn du schreibst da selber dulles Zeugs rein.
Dann würde sich aber die Frage stellen: "Warum tust du so einen Blödsinn?"
Mit Zitat antworten
  #32  
Alt 19.01.2011, 02:36:31
R4Zz0R R4Zz0R ist offline
Junior Member
 
Registriert seit: Sep 2009
Ort: Wetzlar/Kassel
Alter: 28
Beiträge: 201
R4Zz0R befindet sich auf einem aufstrebenden Ast
AW: Framework ? ...

Zitat:
Zitat von DokuLeseHemmung Beitrag anzeigen
In den vorherigen Postings schreibst du auch irgendwas von "Session Variablen prüfen". Das hört sich so an, als würdest du der Sessionverwaltung nicht vertrauen. Als wären die Sessiondaten von außen manipulierbar...
Das sind sie nicht.
Es sei denn du schreibst da selber dulles Zeugs rein.
Dann würde sich aber die Frage stellen: "Warum tust du so einen Blödsinn?"
session daten werden bei mir NUR von scripten und NUR aus datenbanken oder dateien mit inhalten gefüllt. von ausen lasse ich den user da nichts eintragen.
Auserdem greife ich mit sessionvariablen nicht auf datenbanken zu ... Das liegt nicht daran das ich der sessionverwaltung nich trauen würde oder was von ausen ereichbar wäre (bisher ist mir nichts aufgefallen...) sondern eher daran das ich mir einfach angewöhnt habe sowas nicht zu machen dafür lege ich halt einen gewissen wert darauf auch "UNMÖGLICHES" in betracht zu ziehen fals mir ein fehler unterläuft.
bisher suche ich immernoch nach möglichen fehlerquellen indem ich eigene versuche starte von denen bisher noch keiner erfolg hatte.

Ich finde auf das unmögliche vorbereiten ist eine gewisse art von prevention die mögliche angreifer abschrecken könnte.

lg
R4Zz0R
__________________
Wachsen kann man entweder:

Körperlich -> Man wird größer.
^ Ist so von der Evolution gewollt.

Charakter -> Man wird Geduldiger.
^ Man wächst mit der aufgabe

Kopf -> Man wird Klüger.
^ Wenn die aufgabe probleme macht & man trotzdem deine lösung findet.
Mit Zitat antworten
  #33  
Alt 19.01.2011, 11:28:46
Ckaos Ckaos ist offline
Member
 
Registriert seit: Nov 2007
Beiträge: 843
Ckaos befindet sich auf einem aufstrebenden Ast
AW: Framework ? ...

Hi

Zitat:
Ich finde auf das unmögliche vorbereiten ist eine gewisse art von prevention die mögliche angreifer abschrecken könnte.
Aber durch deine prevention könntest du auch erst angriffe möglich machen.
Datenbankverbindung und Benutzereingaben sind die wichtigsten zu sichernden.
Bei Session sicher/unsicher gehts ja auch "nur" um Session Hijacking z.B.



mfg

CKaos
__________________
"Wenn die Leute Häuser so bauen würden, wie wir Programme schreiben, würde der erstbeste Specht unsere Zivilisation zerhacken."
In den allermeisten Fällen sitzt der Bug etwa 40 cm vor dem Monitor!
Mit Zitat antworten
  #34  
Alt 19.01.2011, 11:56:23
R4Zz0R R4Zz0R ist offline
Junior Member
 
Registriert seit: Sep 2009
Ort: Wetzlar/Kassel
Alter: 28
Beiträge: 201
R4Zz0R befindet sich auf einem aufstrebenden Ast
AW: Framework ? ...

Zitat:
Bei Session sicher/unsicher gehts ja auch "nur" um Session Hijacking z.B.
Sofern man die sessionid nicht erraten kann ... und einen ip-abgleich macht sollte es nicht möglich sein ich übergebe keine sessionid und vergleiche die beim login gespeicherte ip mit der aktuellen ip (die mit der session verknüpft ist) Und erhoffe mir natürlich so ein höchstmögliches maß an sicherheit für die sessions aber ausgeschlossen ist es ja nie. (trojaner auf dem rechner (session cookie auslesen?) )

Zitat:
Aber durch deine prevention könntest du auch erst angriffe möglich machen.
Oder angreifer auf mich aufmerksam machen.. ja ist mir bewust.

Hast du eventuell sogar ein beispiel? (welche lücken du geschlossen hast und damit welche geöfnet zb.)

lg
R4Zz0R
__________________
Wachsen kann man entweder:

Körperlich -> Man wird größer.
^ Ist so von der Evolution gewollt.

Charakter -> Man wird Geduldiger.
^ Man wächst mit der aufgabe

Kopf -> Man wird Klüger.
^ Wenn die aufgabe probleme macht & man trotzdem deine lösung findet.
Mit Zitat antworten
  #35  
Alt 19.01.2011, 12:42:24
DokuLeseHemmung DokuLeseHemmung ist offline
SELFPHP Experte
 
Registriert seit: Jun 2008
Beiträge: 2.269
DokuLeseHemmung befindet sich auf einem aufstrebenden Ast
AW: Framework ? ...

Zitat:
ich übergebe keine sessionid und vergleiche die beim login gespeicherte ip mit der aktuellen ip
Das ist Blödsinn!

1. Alle, welche über den selben NAT Router kommen haben die selbe IP
2. Alle 24h wechselt die IP bei DSL Routern
3. Alle welche über einen transparenten Proxy kommen haben die selbe IP
4. Bei AOL Usern kann die IP sekündlich wechseln

Merkst du was?
Mit Zitat antworten
  #36  
Alt 19.01.2011, 14:15:38
R4Zz0R R4Zz0R ist offline
Junior Member
 
Registriert seit: Sep 2009
Ort: Wetzlar/Kassel
Alter: 28
Beiträge: 201
R4Zz0R befindet sich auf einem aufstrebenden Ast
AW: Framework ? ...

hmm ja das ich mich besser über ip releases bei verschiedenen anbitern erkundigen muss...

24h wechsel nehme ich in kauf das ist kein problem.
Selbe ip bei gleichem nat (mehrere pc´s an einer leitung/selber router) ist bisher kein problem mache hier regelmäßig tests von anderen clienten im netzwerk ob sich dadurch probleme ergeben da aber jeder zugriff eine eigene sessionid bekomt ist das kein problem.. Auserdem lasse ich die sessionid ab einem gewissen zeitpunkt den man online ist neu generieren. (timestamp->limit->neue id & timestamp) Über den gesamten zeitraum an dem ein user die seite betritt oder auf ihr verbringt

Beim transparenten proxy...Puuh kein plan das war etwas was ich bisher noch nicht eingeplant hatte.
Verdammt....

Und was mach ich jetzt am besten?...
Das bringt mein konzept recht durcheinander....

lg
R4Zz0R
__________________
Wachsen kann man entweder:

Körperlich -> Man wird größer.
^ Ist so von der Evolution gewollt.

Charakter -> Man wird Geduldiger.
^ Man wächst mit der aufgabe

Kopf -> Man wird Klüger.
^ Wenn die aufgabe probleme macht & man trotzdem deine lösung findet.
Mit Zitat antworten
  #37  
Alt 19.01.2011, 14:25:54
DokuLeseHemmung DokuLeseHemmung ist offline
SELFPHP Experte
 
Registriert seit: Jun 2008
Beiträge: 2.269
DokuLeseHemmung befindet sich auf einem aufstrebenden Ast
AW: Framework ? ...

Was du machen solltest?

Hmm...
In Punkto Sessions, oder überhaupt?


Lese mal: Session Sicherheit (in einem anderen Forum)
Aber übertreibe es damit nicht!

Im Augenblick scheinst du, mangels Grundlagen, in "Wolkenkuckucksheimen" zu schweben.

Tipp:
Es gibt nur 3 Wege welche zum Erfolg führen:
1. Der Goldene: Problem analysieren, Lösung finden, Lösung durchsetzen
2. Der Silberne: Genauso machen wie die Anderen. Abgucken!
3. Der Bronzene: Aus Erfahrung lernen.
Alle anderen führen nicht zum Ziel.
Mit Zitat antworten
  #38  
Alt 20.01.2011, 03:03:46
R4Zz0R R4Zz0R ist offline
Junior Member
 
Registriert seit: Sep 2009
Ort: Wetzlar/Kassel
Alter: 28
Beiträge: 201
R4Zz0R befindet sich auf einem aufstrebenden Ast
AW: Framework ? ...

Zitat:
Im Augenblick scheinst du, mangels Grundlagen, in "Wolkenkuckucksheimen" zu schweben.
Nein da verstehst du mich etwas falsch.

Ihr habt ja nun auch schon einiges über euch erzählt nun etwas zu mir.
Solche sätze habe ich schon oft gehört und das ein projekt zu groß wäre um es für sich alleine und einfach nur aus hobby, spaß und dem wissendrang über etwas nachzugehen.
FALSCH!!! Wenn man sich wie ich einfach das ziel gesetzt hat sowas zu schaffen ist das auch durchaus möglich. Ich kämpf mich jetzt 6 jahre damit durch und versuche nur besser zu werden und das werde ich. "mangels Grundlagen" würde ich bei mir nicht behaupten nur habe ich bisher nach lösungsansätzen gesucht die weniger auf solche probleme wie transparente proxys ect. richten wegen der sekündlich wechselnden ip von aol usern muss ich mich schon nochmal schlau machen aber da hab ich gerade noch garkeinen großen ansatz auser cookie aber wer so schnell wechselnde ip hat mag warscheinlich keine cookies..
naja...

Und noch ein kleiner nachtrag...
Mein code aus der index.php:

PHP-Code:
<?php
@require_once('functions/controller.php');
$postarray array_merge($_POST);
$getarray array_merge($_GET);
foreach (
$getarray as $varx => $val)  {
    
$getarray[$varx] = preg_replace('/[^a-z0-9 \\/?=&]/Usi','',$val);
}
$output controler($postarray,$getarray);
echo 
$output;
?>
Etwas größer als bei euch aber für mich bisher ganz praktikabel...

Trozdem danke für den hilfreichen link 2ter klick gleich ein interessantes pdf ;)

Werde mal sehen wie ich bestimte ansätze umsetze..

LG
R4Zz0R
__________________
Wachsen kann man entweder:

Körperlich -> Man wird größer.
^ Ist so von der Evolution gewollt.

Charakter -> Man wird Geduldiger.
^ Man wächst mit der aufgabe

Kopf -> Man wird Klüger.
^ Wenn die aufgabe probleme macht & man trotzdem deine lösung findet.
Mit Zitat antworten
  #39  
Alt 20.01.2011, 10:47:21
DokuLeseHemmung DokuLeseHemmung ist offline
SELFPHP Experte
 
Registriert seit: Jun 2008
Beiträge: 2.269
DokuLeseHemmung befindet sich auf einem aufstrebenden Ast
AW: Framework ? ...

PHP-Code:
@require_once('functions/controller.php'); // wozu das @? und warum verlässt du dich auf den include_path?
$postarray array_merge($_POST); // wozu das merge ?
$getarray array_merge($_GET); // wozu das merge ?
foreach ($getarray as $varx => $val)  {
    
$getarray[$varx] = preg_replace('/[^a-z0-9 \\/?=&]/Usi','',$val); // Get Daten verfälschen? Warum?
}
$output controler($postarray,$getarray);
echo 
$output
Hmmm...
Würde dann auch gerne mal deinen Controler sehen... ;-)
Mit Zitat antworten
  #40  
Alt 20.01.2011, 23:15:18
R4Zz0R R4Zz0R ist offline
Junior Member
 
Registriert seit: Sep 2009
Ort: Wetzlar/Kassel
Alter: 28
Beiträge: 201
R4Zz0R befindet sich auf einem aufstrebenden Ast
AW: Framework ? ...

PHP-Code:
@require_once('functions/controller.php'); // wozu das @? und warum verlässt du dich auf den include_path?(wer sollte was daran ändern können und wenn wie ? )
$postarray array_merge($_POST); // wozu das merge ? ( aus dem manual)
$getarray array_merge($_GET); // wozu das merge ?     ( " " manual ) 
foreach ($getarray as $varx => $val)  {
    
$getarray[$varx] = preg_replace('/[^a-z0-9 \\/?=&]/Usi','',$val); // Get Daten verfälschen? Warum? (weil ich nicht mehr als die dort in der regex aufgeführten zeichen haben will) 
}
$output controler($postarray,$getarray);
echo 
$output
(ahh ja das @ naja das ist noch von einer etwas ausführlicheren debugarbeit über in der ich bestimmte fehler erzeugen wollte und daher alle unnötigen fehlermeldungen ausgeblendet hatte eben genau in dieser include anweisung.)
Ungern da es dabei schon recht gut ins detail geht wie meine seite funktioniert und dein kommentar wegen des include path mich stuzig macht ... was meinst du damit genau?.

(^^hardcoded und ich sehe keine manipulationsmöglichkeit)..

verwende öfter include in meinem code teils auch für wichtige codesegmente deren pfad aber von mir festgelegt wurde wie im obrigen codebeispiel.

LG
R4Zz0R
__________________
Wachsen kann man entweder:

Körperlich -> Man wird größer.
^ Ist so von der Evolution gewollt.

Charakter -> Man wird Geduldiger.
^ Man wächst mit der aufgabe

Kopf -> Man wird Klüger.
^ Wenn die aufgabe probleme macht & man trotzdem deine lösung findet.
Mit Zitat antworten
Antwort


Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)
 
Themen-Optionen
Ansicht

Forumregeln
Es ist Ihnen nicht erlaubt, neue Themen zu verfassen.
Es ist Ihnen nicht erlaubt, auf Beiträge zu antworten.
Es ist Ihnen nicht erlaubt, Anhänge hochzuladen.
Es ist Ihnen nicht erlaubt, Ihre Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind aus.
[IMG] Code ist aus.
HTML-Code ist aus.

Gehe zu

Ähnliche Themen
Thema Autor Forum Antworten Letzter Beitrag
Framework = Sammlung von verschiedenen Funktionen? Erzengel PHP Entwicklung und Softwaredesign 9 06.04.2010 12:11:48
Ein Framework hmp PHP Entwicklung und Softwaredesign 19 04.04.2010 20:55:41
Suche: PHP Framework für Adminbereich ksticker PHP für Fortgeschrittene und Experten 0 16.08.2008 18:31:52
Zend Framewok Small-Talk PHP Entwicklung und Softwaredesign 2 04.04.2006 20:28:36


Alle Zeitangaben in WEZ +2. Es ist jetzt 06:08:04 Uhr.


Powered by vBulletin® Version 3.8.3 (Deutsch)
Copyright ©2000 - 2017, Jelsoft Enterprises Ltd.


© 2001-2017 E-Mail SELFPHP OHG, info@selfphp.deImpressumKontakt