PHP Falsche Variabeln erkennen und sich schützen

Mit falschen Variabeln sind Variabeln welche als Wert einen Command enthalten gemeint.

Verarbeitet der Server sie, wird der Command ausgeführt.

Also sollte man die Verarbeitung von solchen Variabeln verhindern und dafür sorgen, dass sie einfach nur in die MYSQL Datenbank eingetragen wird ohne vorher bearbeitet bzw. überprüft (Z.b Prüfen ob es sich um eine Emailadresse handelt) zu werden.

Es gibt 2 Möglichkeiten, die Verarbeitung von solchen Variabeln zu verhindern:

1.Man fragt alle verdächtigen Zeichen mit einem IF Statement ab. Dies ist allerdings unsicher und sehr aufwendig.

2.Die zweite Möglichkeit ist die Umformatierung bzw. Verschlüsselung der Variabel/n. Dies ist viel sicherer und macht mehr sinn, weshalb ich dir dies auch hier erklären werde.

Um die Variabeln so sicher wie möglich zu verschlüsseln, solltest du sie als passive Variabeln verarbeiten.

Das heisst: nicht md5($_GET["variabel"] sondern $var1 = $_GET["variabel"]; md5($var1).

Um zu verhindern, dass ein Hacker die Verschlüsslung knackt kannst du folgendes tun:

Bei jeder Session wird ein random Passwort generiert und als Textdatei auf dem Server gespeichert, das PHP File liest die Datei aus und nutzt sie als Passwort für den vom User eingegeben Content!

Beispiel:

$passwort = file_get_contents('password.txt'); //Falls die Datei nicht im gleichen Ordner wie das Skript ist, ganzen Pfad angeben!
        $salt     = $_POST["hey"];
        echo md5($passwort.$salt); 

Tipp: Überwache das Verhalten deiner Nutzer genau um falls vorhanden Sicherheitslücken aufzudecken. Dabei hilft dir das folgende Tool enorm:

 

Count24

Unterstützt durch Produktplatzierung.

Bei der Übertragung von den Daten via CURL kann jedes Script auf der Website genutzt werden. Es ist also wichtig das die Ziel Url und das Datenziel, fest und statisch verankert sind! Dies kann zum Beispiel durch eine ht.access Datei, welche nur Nutzer mit einer bestimmten Session zulässt geregelt werden. Dazu muss aber jeder Ordner (der ein Script enthält) über eine eigene access Datei verfügen.

Session beispiel:

<?php
session_start();
 
 $hey = "True";
if (!isset($_SESSION['using'])) {
   $_SESSION['usomg'] = true;
} else {
   echo $hey;
}
?>

PHP SESSION Tutorial:

BESTES VIDEO EVER:


Ich hoffe ich konnte dir helfen, deine Seite etwas sicherer zu machen.

kostenlos anrufen
powered by
branchen-info.net

Sweet24.de - PB

KONTAKT

Hinweis: Bitte die mit * gekennzeichneten Felder ausfüllen.


Made with ♥ in Bern (Switzerland)!