Frage zur Sicherheit
lima-city → Forum → Programmiersprachen → PHP, MySQL & .htaccess
anwenden
beispiel
braut
code
ersetzen
frage
funktionieren
heben
index
input
instanz
klasse code
leute
paar
profi
schaden
sicherheit
strip
tip
wundern
-
halluuu
ich schreibe ab und an nen paar functionen oder classen für bekannte und leute die fragen, so lerne ich neues, meistens mit den leuten, und das ist finde ich ganz gut :)
ich lerne gerne neues.
jetzt hat mich letzt ein bekannter angesprochen und meinte: "injections und hacks funktionieren nur über die GPC, also müssen wir die sichern! zieh einfach über alle die reinkommen ein addslashes!"
jetzt hab ich ihm was geschrieben, aber ich selbst kenn mich mit sicherheit nicht sooo dolle aus, und wollte hier mal von den profis erfahren:
1. ob diese klasse wirklich was taugt 0.0 scheint mir zu simpel
2. wie man sich vllt sichern kann. ich kenn mich mit dem thema wenig aus, und vllt gibts hier den ein oder anderen tipp.
aber hier die klasse:
<?php # written by Steffen Wendt if (constant('INDEX') != 5) { die('No Access'); } class gpc_security { private static $instanz = false; static public function init() { if(self::$instanz === false) { self::$instanz = new self; } return self::$instanz; } private function __construct() { if (!get_magic_quotes_gpc()) { $this->save_cookie(); $this->save_get(); $this->save_post(); } } private function save_get() { foreach($_GET as $key => $value) { $_GET[$key] = stripslashes($value); $_GET[$key] = addslashes($value); } } private function save_post() { foreach($_POST as $key => $value) { $_POST[$key] = stripslashes($value); $_POST[$key] = addslashes($value); } } private function save_cookie() { foreach($_COOKIE as $key => $value) { $_COOKIE[$key] = stripslashes($value); $_COOKIE[$key] = addslashes($value); } } } ?>
ganz ehrlich, das kommt mir viel viel viel zu einfach vor, als dass sowas funktioniert 0.0
er wollte es so, aber ich will ja was richtiges lernen, und hier haben wir die profis :)
ich freu mich auf antwort! danke :) -
Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!
lima-city: Gratis werbefreier Webspace für deine eigene Homepage
-
Heben sich nicht stripslashes und addslashes gegenseitig auf?
Aber allgemein: Es ist nicht gut, am Anfang des Script schnell mal überall \s einzufügen. Das liegt daran, dass man immer erst dann Escapen sollten, wenn man es auch braut. Beispiel: Was bringt es mir, dass in meinem HTML-Code alle ' durch \' ersetzt werden? Nichts, außer Schaden. Dann wundern sich alle, was das denn für \'s sein sollen... Das ' durch \' zu ersetzen bringt einem aber bei SQL-Queries was. Und *da* sollte man dann auch wirklich sein mysql_real_escape_string / $db->quote() / $db->prepare() anwenden. -
das strip und add hebt sich gegenseitig auf, das stimmt.
das habe ich mir gedacht um, ja, warum eig
er hat aber auch noch nichts gesagt. muss man sehen.
da hast du recht, eher weniger als zu viel. das gibt vllt errors. sinn dahinter war ja ursprünglich alle GPC einfach zu escapen. und für sowas ists hauptsächlich.
die dinge die man einfängt kann man über sowas auch escapen, das stimmt, aber ist das alles? also kann man da noch mehr machen? sauber coden, kla. oder gabs da mal nen richtigen thread drüber, oder ne gute seite?
und was ganz ganz dummes: mysql_escape_real_string() auf ALLE SQL anwendbar? also auch auf PostGre? sqlLITE? was weiß ich was es da noch gibt? ich brauch mal zu dem thema input, der was taugt^^
ich freu mich schon auf so einen input :)
vielen dank! -
Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!
lima-city: Gratis werbefreier Webspace für deine eigene Homepage
