kostenloser Webspace werbefrei: lima-city

Webseite hacksichern?!

lima-cityForumProgrammiersprachenPHP, MySQL & .htaccess

all angreifer chance code datei datum extra datei frage ftp gespeichert passwort login objekt ordner profil reduzieren schutz stecken verzeichnis vorname zugriff
  1. Autor dieses Themas

    christian1603

    Kostenloser Webspace von christian1603

    christian1603 hat kostenlosen Webspace.

    17:36, 24.10.2009
    Hallo,
    ich Habe auf meiner Seite ein Login und jeder User hat ein Profil das er auch ändern kann damit er kein php und kein html ausführen kann verwende ich das : $Vorname = htmlspecialchars(mysql_escape_string($data["Vorname"]));
    die User Daten werden in einer Mysql Datebank gespeichert (passwort natürlich verschlüsselt).
    Ich habe die SQL verbindung in einer extra datei die ich immer include(/******/sql.php) wenn ich sie brauche.
    damit ein hacker sie nicht alt zu schnell knackt habe ich einen ordner wo die sql.php datei inhalten ist und gleichzeitig noch eine .htaccess login datei.
    Fragen:
    -Sind die angegeben sicherheitsfunktionen sicher genug
    -Muss ich noch ihrent was beachten?

    LG

  2. Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!

    lima-city: Gratis werbefreier Webspace für deine eigene Homepage

  3. cookies

    Kostenloser Webspace von cookies

    cookies hat kostenlosen Webspace.

    17:38, 24.10.2009
    Den Ordner, in dem die Datei sql.php ist solltest du ganz sperren per htaccess:
    deny from all

    Außerdem solltest du noch register_globals ausschalten.

    Dann müsste das alles sicher sein.

    LG cookies

  4. julian101

    julian101 hat kostenlosen Webspace.

    22:34, 24.10.2009
    Ganz sicher ist prinzipiell nichts.

    Weiß jdm. dein Passwort, kann er ja rein.
    Du kannst allerdings die Chance eines Hackangriffes reduzieren wenn du alles richtig gut absicherst.

    1. Das Verzeichnis sollte man sowieso absichern (mit htaccess z.B.)
    2. Das Passwort zum Verzeichnis kann man dann so einmal im Monat ändern.

    Es gibt immer eine Hintertür, nur lass den Schlüssel nicht stecken. :blah:

  5. nikic

    Kostenloser Webspace von nikic, auf Homepage erstellen warten

    nikic hat kostenlosen Webspace.

    23:24, 24.10.2009
    Alles was du normalerweise brauchst ist Schutz vor SQL-Injections und XSS. Wenn du eval() von Nutzereingaben nutzt, muss das natürlich gesichert werden. Für exec(), system(), passthru(), usw. gilt das selbe (ich geh davon aus, dass du das alles sowieso nicht nutzt.)

    Weiterhin sollte in der config-Datei natürlich nicht das PW oder so ausgegeben werden. Wenn nichts ausgegeben wird, bringt dem Angreifer der Zugriff auf die Datei nichts. Und wenn der Angreifer an dein FTP ran kommt, dann ist sowieso nichts mehr mit sicher.

    Weiterhin solltest du darauf achten, dass du bei den objektorientierten MySQL-Klassen (PDO) beim Erstellen des Objekts Exceptions abfängst (try/catch), da sonst eventuell dein PW, usw. ausgegeben wird.

  6. Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!

    lima-city: Gratis werbefreier Webspace für deine eigene Homepage

Dir gefällt dieses Thema?

Über lima-city

lima-city bietet dir kostenlosen und werbefreien Speicherplatz für Deine Homepage. Sofort anmelden und direkt loslegen mit Webspace, PHP, Datenbanken, günstigen Domains und einer tollen Community!

Login zum Webhosting ohne Werbung!

Hast Du schon kostenlosen Webspace oder bist Du auf der Suche nach WordPress-Hosting mit Staging-Funktion und wp-cli? Jetzt günstige Prepaid Domains registrieren!