Formular sicher machen

Einklappen
X
 
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

  • Formular sicher machen

    Mich würde mal interessieren, welche Methoden Ihr verwendet, um Eure Formulare (z.B. Kontakt-Formulare, Eingabeformulare bei GBs usw..) sicher zu machen.
    Also so, dass sicherheitskritische Eingaben überhauptnicht übermittelt werden, bzw. keine Auswirkung haben..

    Danke für Eure Tipps!

  • #2
    Was verstehst Du unter:
    sicherheitskritische Eingaben
    Beantworte nie Threads mit mehr als 15 followups...
    Real programmers confuse Halloween and Christmas because OCT 31 = DEC 25

    Kommentar


    • #3
      Irgendwas mußt Du ja nun über mitteln ... Du kannst "sicherheitskritische" Daten wie Benutzernamen und Kennworte nicht einfach weglassen.

      Der wichtigste Grundsatz: "Never trust incomming Data" also immer schön alles Prüfen was Dir geschickt wird.

      SSL - Verschlüsseln wenn's wirklich "kritisch" ist ... nicht zu vergessen.
      carpe noctem

      [color=blue]Bitte keine Fragen per EMail ... im Forum haben alle was davon ... und ich beantworte EMail-Fragen von Foren-Mitgliedern in der Regel eh nicht![/color]
      [color=red]Hinweis: Ich bin weder Mitglied noch Angestellter von ebiz-consult! Alles was ich hier von mir gebe tue ich in eigener Verantwortung![/color]

      Kommentar


      • #4
        Ok, angenommen ich habe ein Kontaktformular, in das ein Besucher sein Anliegen eintragen kann.
        Nach Abschicken des Formulars werden die Daten an eine andere Seite übergeben, die sie auswertet und z.b. eine Mail verschickt.

        Hierbei gäbe es doch die Möglichkeit, dass ein "böser" Besucher z.B. Code in das Formular eintippt, der dann wiederum auf der nächsten Seite ausgeführt wird.
        Oder nicht?

        Kommentar


        • #5
          Ok, sorry.. war wohl etwas missverständlich formuliert von mir.
          Mit sicherheitskritisch meinte ich nicht Kennwörter oder Ähnches, sondern eben z.B. absichtlich eingetippter bösartiger Code

          Kommentar


          • #6
            Auf alle Fälle überprüfen der ankommenden Daten ob auch wirklich der Datentyp eingegeben wurde den man sich erwartet oder ob der String auch in dieser "Forum" ist die man sich erwartet.

            Ich starte eine Session auf der "Forumularseite" und frage dann beim verarbeitenden Script immer zuerst ab ob überhaupt eine Session vorhanden ist und ob die übergebene ID auch stimmt.

            Würd mich aber auch interessieren wie es andere BESSER machen. Oder was ihr von dieser Methode haltet
            [font=tahoma]
            Agentursoftware
            Zend Framework Resource
            FM4 Sammelalbum


            "The most important part of the work is the beginning" - Plato
            "..so dance while you still have feet and smile while you still have teeth.." - Caesars[/font]

            Kommentar


            • #7
              ich arbeite schon auch nach dem Grundsatz "Never trust incoming data" - d.h. ich überprüfe vor der Weiterverarbeitung natürlich auch zuerst die übergebenen Daten.
              Aber ich bin trotzdem für jede weitere Anregung wie z.B. is_real's Session-Lösung dankbar..

              Kommentar


              • #8
                wie goth sagte never trust incoming data,

                da gibts schöne Beispiele mit eval funktionen oder sql statements, die auch mal Tabellen leeren oder passwörter ausgeben oder so...

                zB:

                $sql = "SELECT ".$_GET['column']." FROM ".$_GET['tbl']." where ID=".$_GET['ID'];

                is nur ein Beispiel, is klar aber ersichtlich wird sicher was gemeint ist, wenn ich in $_GET['column'] sowas eintrage: password,user_name
                in $_GET['tbl'] : user
                und in ID: 1 or ID in (0,2,3,4,5,6,76,8,9,)

                oder
                eval($_GET['shit']); ist auch nett
                Beantworte nie Threads mit mehr als 15 followups...
                Real programmers confuse Halloween and Christmas because OCT 31 = DEC 25

                Kommentar


                • #9
                  genau so etwas habe ich gemeint.
                  Aber dem kann man doch vorbeugen, indem man eben die Eingaben überprüft. Oder reicht das nicht?
                  Wie genau machst Du das?

                  Kommentar


                  • #10
                    1.) Ich mache keine solchen shit statements wo alles ganz toll variabel ist und jeder alles eintragen kann.
                    2.) ich verwende eval nicht in Verbindung mit $_POST, $_GET, etc.
                    3.) Wenn ich Zahlen erwarte dann nehme ich nur Zahlen an
                    4.) ich verschlüssele Passworte mit MD5 in einer DB

                    etc. pp.
                    Beantworte nie Threads mit mehr als 15 followups...
                    Real programmers confuse Halloween and Christmas because OCT 31 = DEC 25

                    Kommentar


                    • #11
                      Original geschrieben von MelloPie
                      .
                      .
                      .
                      4.) ich verschlüssele Passworte mit MD5 in einer DB

                      etc. pp.

                      ich nehme dafür crypt
                      PHP-Code:
                      $username "Gast";
                      $passwort "geheim";

                      $salt substr($username02);
                      $cryptedpw crypt($passwort$salt); 
                      [font=tahoma]
                      Agentursoftware
                      Zend Framework Resource
                      FM4 Sammelalbum


                      "The most important part of the work is the beginning" - Plato
                      "..so dance while you still have feet and smile while you still have teeth.." - Caesars[/font]

                      Kommentar

                      Lädt...
                      X