Cross Site Scripting - Gefahr für PHP selber?
lima-city → Forum → Programmiersprachen → PHP, MySQL & .htaccess
ahnung
befehl
befehlen
beitrag
benutzername
client
cross
eingeben
folgen
funktion
gefahr
inhalt
konfiguration
meisten
nochmal
parameter
pawort
reden
string
-
Wenn man von Cross Site Scripting(xss) spricht, ist meistens vom Einschleusen von HTML oder JavaScript Codes die Rede, die auf dem Client ausgef?hrt werden.
Dann gibt es auch noch MySQL Injektions, aber das ist ein anderes Thema.
Aber gibt es auch eine Gefahr, dass Benutzereingaben als PHP Code ausgef?hrt werden?
Oder ist PHP so sicher, weil alle Eingaben als Strings und nicht als Befehle gewertet werden k?nnen?
Ich wei?, es gibt die Funktion eval(), mit der das gerade beschriebene M?glich w?re, aber au?er zu Testzwecken verwendet man eval() eigentlich nicht, oder?
-
Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!
lima-city: Gratis werbefreier Webspace für deine eigene Homepage
-
bladehunter schrieb:
Aber gibt es auch eine Gefahr, dass Benutzereingaben als PHP Code ausgef?hrt werden?
Oder ist PHP so sicher, weil alle Eingaben als Strings und nicht als Befehle gewertet werden k?nnen?
nein, so etwas passiert nur, wenn man seine Konfiguration im php.ini ohne gro? ahnung zu haben ver?ndert^^ -
klar gibt es die Gefahr!
wenn du zB eine Benutzereingabe auslist:
echo "Hallo".$benutzername;
kann der Benuzter dies ?ber den Parameter $nebutzername andere Sachen auslesen:
seite.php?$benutzername=
echo "Hallo";%20echo%20$dbpasswort;%20echo%20$dbname
Dadurch entsteht:
echo "Hallo";echo $dbpasswort; echo $dbname;
und das Passwort und der Name der Datenbank werden ausgelesen. Somit hat man ?ber die Benutzereingabe PHP-Code ausgef?hrt. -
klar gibt es die Gefahr!
wenn du zB eine Benutzereingabe auslist:
echo "Hallo".$benutzername;
kann der Benuzter dies ?ber den Parameter $nebutzername andere Sachen auslesen:
seite.php?$benutzername=
echo "Hallo";%20echo%20$dbpasswort;%20echo%20$dbname
Dadurch entsteht:
echo "Hallo";echo $dbpasswort; echo $dbname;
und das Passwort und der Name der Datenbank werden ausgelesen. Somit hat man ?ber die Benutzereingabe PHP-Code ausgef?hrt.
Nein.
andy2309 schrieb:
bladehunter schrieb:
Aber gibt es auch eine Gefahr, dass Benutzereingaben als PHP Code ausgef?hrt werden?
Oder ist PHP so sicher, weil alle Eingaben als Strings und nicht als Befehle gewertet werden k?nnen?
nein, so etwas passiert nur, wenn man seine Konfiguration im php.ini ohne gro? ahnung zu haben ver?ndert^^
Nochmals nein. ^^
Wenn du Benutzereingaben in die Funktion "eval ()" reinpackst werden diese ausgef?hrt. Ansonsten besteht eingetlich keine Gefahr.
MfG Lucas
edit :
@gero : Es ging um PHP Befehle.
Beitrag ge?ndert am 6.01.2006 14:11 von lucas9991 -
klar.. man kann doch wenn z.b. ein cookie abgefragt wird das cookie so ver?dern, das der abfrage befehl z.b mysql query beendet wird und ein neuer befehl ausgef?hrt wird.. z.b. so..
im code steht folgendes:
mysql_query('SELECT * FROM bla WHERE ID="'.$_COOKIE['cookie'].'"');
wenn man den Inhalt vom cookie so um?ndert:
1"); $data=MYSQL_FETCH_ARRAY(MYSQL_QUERY('SELECT * FROM user WHERE ID="1"));
echo $data['pwd'];
MYSQL_QUERY('SELECT * FROM bla WHERE ID="1 //nur damit es sauber aufgeht
sieht der code so aus:
mysql_query('SELECT * FROM bla WHERE ID="1"); $data=MYSQL_FETCH_ARRAY(MYSQL_QUERY('SELECT * FROM user WHERE ID="1"));
echo $data['pwd'];
MYSQL_QUERY('SELECT * FROM bla WHERE ID="1"');
und das hat zur folge, dass das pw vom user mit der id 1 ausgegeben wird..
MYSQL_QUERY('SELECT * FROM bla WHERE ID="1 das habe ich nur rein gepackt, damit der code sauber aufgeht..
greez
gero -
Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!
lima-city: Gratis werbefreier Webspace für deine eigene Homepage
