kostenloser Webspace werbefrei: lima-city


Gästebuch-Sicherheit

lima-cityForumDie eigene HomepageSicherheit im Internet

  1. Autor dieses Themas

    o*********n

    Hallo zusammen.

    Ich habe mir mittlerweile eine Homepage programmiert (die natürlich auf lima city erreichbar ist, www.oekomuetzen.lima-city.de), und ich will mir auch noch einen Counter, ein Gästebuch und ein Forumular selbst machen.

    Zurzeit lasse ich die drei Dinge von Onlex.de hosten, weil ich noch keine Datenbank verfügbar habe. Die PHP-Kenntnisse habe ich mir über die lima-city-tutorials, selfhtml und verlinkte Tutorial-Seiten angeeignet, sollte also auch kein Problem sein.

    Ich weiß nur nicht, wie des mit der Sicherheit is. Werden die Daten verschlüsselt gespeichert oder muss ich da noch was extra machen? Und wie kann ich verhindern, dass des Gästebuch zugespammt wird?

    Danke für eure Antworten.

    der michi.
  2. Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!

    lima-city: Gratis werbefreier Webspace für deine eigene Homepage

  3. s******2

    Zum Thema Sicherheit:

    Jedes mal wenn ein User den zugriff auf eine Datenbank bekommt (zb. gästebuch eintrag) solltest du aus den Datensatz alle " und ' entwerten.

    Am besten geht das mit mysql_escape_string();
    Also zb.

    $_POST["neuer_eintrag"];

    $neuer_eintrag = mysql_escape_string($_POST["neuer_eintrag"]);

    $sql = mysql_query("INSERT ...................);



    Wenn du wichtige Daten wie Passwörter hast, sollten diese verschlüsselt werden, bervor sie in die Datenbank eingetragen werden.
    PHP unterstützt viele verschlüsselungen zb. md5()


    Zum Spamen:
    Das ist schon kniffliger. Eine gute möglichkeit gegen Bots sind Captcha abfragen. Da die aber komplieziert sind könnte man auch eine einfache rechen aufgabe mit einem zufallsgenerator stellen, hier muss ma kreativ sein :wink:

    Wenn du schon Spamer hast, kann man auch ein Ip - Sperr Skript schreiben.

    Hoffe ich konnte ein wenig helfen :)
  4. Autor dieses Themas

    o*********n

    Danke für die schnelle Antwort.
    Ja das klingt vernünftig, die Zeichen die für die Programmiersprache verwendet werden zu entwerten. Und wg Spam muss ich dann mal schauen, auf jeden Fall muss ich dafür sorgen dass von derselben ip nur alle 10 Minuten oder so ne Nachricht angenommen wird.

    schönen Tag wünsche ich.

    gruß, der michi
  5. Ich refernziere hier vor allem auf den Beitrag von skar1212, der Grundsätzlich alle wichtigen Tipps bereits gegeben hat.
    Allerdings würde ich nicht nur " und ' entfernen, sondern alle speziellen Sonderzeichen extrahieren lassen, wie zB < & > für HTML. Dazu findest du im Netz viele bereits sehr weitreichende PHP-Zeilen, welche dir das erledigen. Wichtig dabei ist, dass du dies mit jeder erdeglichen Information tust, die der Benutzer eingeben kann.

    Verschlüsseln der Daten ist eine gute Sache, wie auch erwähnt bietet da PHP bereits viele gute Ansätze. md5 ist einfach zu gebrauchen, dabei würde ich aber eine mindestlänge von 7 Zeichen voraussetzen, da md5-hashes mit Rainbowtables geknackt werden können, speziell eben bis 6 Zeichen.

    Was ich auch grundsätzlich empfehle ist, die Daten nicht per GET-Methode sondern POST-methode zu übermitteln, was aber bei einem Gästebuch(Formular..) meistens sowieso der Fall ist.

    Um sich gegen SPAM zu schützen, gibt es mehrere Methoden, aber nur CAPTCHA verhält wirklich. Falls du darauf verzichten willst, kannst du auch mit IP-Sperren und Timeouts SPAM einschränken, aber so werden sicherlich ein paar Bots dein Gästebuch mit Müll füllen. Es gibt auch vorgefertigte Scripts, die Anhand von zB der anzahl im Post vorhandenen URLs entscheiden, ob dies wohl SPAM sein wird oder nicht. Dies ist aber nur zu empfehlen, wenn du ein Kontrollsystem mit Moderations-Funktion einbaust, sonst besteht die Gefahr des Datenverlustes, da die Falscherkennung nicht auszuschliessen ist.

    Bei Fragen einfach ne PN,
    Grüsse Sublime
  6. zusätzlich sollte man schauen, dass man XSS unterbindet... das geht einfach, indem man den Eingabestring so oft durch ein preg-match laufen lässt und die entsprechenden teile rausschneidet, bis das ergebnis des suchstrings "" ist.

    Ist aber ein relativ umständlicher preg_match-Ausdruck... es gibt auch schon einen vorgefertigten befehl dazu, leider fällt er mir jetzt im Momant nicht mehr ein, das wäre dann die elegante Löung, dieses Modul einfach anzuwenden...
  7. m*************d

    ich würde als spamschutz entweder die ip überprüfen und die selbe ip nur z.b. 1 mal in der stunde antworten lassen.. oder captcha...

    Gruß

    Beitrag zuletzt geändert: 21.8.2010 19:04:26 von mytorialsupload
  8. s******2

    mytorialsupload schrieb:
    ich würde als spamschutz entweder die ip überprüfen und die selbe ip nur z.b. 1 mal in der stunde antworten lassen.. oder captcha...

    Gruß


    Das ist zwar schön, aber nicht alle User haben eine Fix Ip.

    zb. Bei Mobilen Breitband, muss mann nur die Verbindung trennen und dann wieder verbinden und schon hat man eine neue Ip.

    Ich kenn mich bei DSL Anbietern nicht aus und weiß nicht obs da ähnlich ist, aber viel verlassen würd ich mich drauf nicht! (:
  9. m*************d

    skar1212 schrieb:
    mytorialsupload schrieb:
    ich würde als spamschutz entweder die ip überprüfen und die selbe ip nur z.b. 1 mal in der stunde antworten lassen.. oder captcha...

    Gruß


    Das ist zwar schön, aber nicht alle User haben eine Fix Ip.

    zb. Bei Mobilen Breitband, muss mann nur die Verbindung trennen und dann wieder verbinden und schon hat man eine neue Ip.

    Ich kenn mich bei DSL Anbietern nicht aus und weiß nicht obs da ähnlich ist, aber viel verlassen würd ich mich drauf nicht! (:

    ja dann würd ich doch das mit dem captcha machen ;-)

    Gruß
  10. So und wieder mal die alte Leier mit diesen scheiß Captchas, die sind nämlich bei ganz vielen Sachen schon ein Grund, damit ich die Seite nicht weiter nutze, beziehungsweise, wenn ich die knacken wollte, dann schaffe ich auch das. Ich würde dazu einfach mal nach googeln und expliziet ergebnisse ohne Captchas suchen, die sind oftmals bedeutend benutzerfreundlicher.

    Um mal einen kleinen Einstieg zu geben, lege ich dir mal diese Links ans Herz:
    http://1ngo.de/web/captcha-spam.html
    http://www.lima-city.de/thread/schlechte-captcha-qualitaet/page%3A0/perpage%3A30#915981
    oder auch, sofern du kein Problem damit hast PHP-Code zu lesen, eine kleine Ausarbeitung von mir selbst (die ist aber noch nicht 100% fertig...) http://nemoinho.lima-city.de/?pleaseShowMeTheContact

    Wie gesagt, lass das Captcha sein, 1. es geht zu knacken, auch wenn das die betreffenden Propagandisten nie hören wollen und 2. gibt es bedeutend elegantere Methoden!

    Um aber auch noch etwas produktives zu deiner Frage beizutragen guck dir mal diese Funktionen an:
    htmlspecialchars
    addslashes
    stripslashes
    mysqli_real_escape_string

    Zusätzlich ist auch noch dieser Artikel aus selfhtml zu empfehlen: http://wiki.selfhtml.org/wiki/Artikel:Kontextwechsel
    Den Kontextwechsel sind ja das Problem, weshalb überhaupt Sicherheitslücken entstehen, denn wen ein String ein String ist und auch nicht verändert wird, ist das ja kein Problem, da aber für Datenbanken andere Sonderzeichen gelten, als für PHP, muss man da aufpassen, dass man nicht in eine solche Falle rennt.
  11. Autor dieses Themas

    o*********n

    Vielen Dank für die Antworten, mit etwas Zeit und Muße werd ich da glaub schon einiges einbauen können. Meine Seite is im Internet ziemlich ungooglebar und unbekannt, drum mach ich mir erstmal eh nicht so viele sorgen.. ..

    @nemoinho, danke für die gute Antwort und die vielen Links.

    gruß, der michi
  12. forum-tkv-duisburg

    forum-tkv-duisburg hat kostenlosen Webspace.

    kein gästebuch ist sicher und wenn du es nochso spamm sicher machst es gibt immer eine methode es zu knacken
  13. Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!

    lima-city: Gratis werbefreier Webspace für deine eigene Homepage

Dir gefällt dieses Thema?

Über lima-city

Login zum Webhosting ohne Werbung!