Formular sicher machen

**MelloPie** · 07.04.2003, 12:17

Was verstehst Du unter:
sicherheitskritische Eingaben

**goth** · 07.04.2003, 12:23

Irgendwas mußt Du ja nun über mitteln ... Du kannst "sicherheitskritische" Daten wie Benutzernamen und Kennworte nicht einfach weglassen.

Der wichtigste Grundsatz: "Never trust incomming Data" also immer schön alles Prüfen was Dir geschickt wird.

SSL - Verschlüsseln wenn's wirklich "kritisch" ist ... nicht zu vergessen.

**zzet** · 07.04.2003, 12:24

Ok, angenommen ich habe ein Kontaktformular, in das ein Besucher sein Anliegen eintragen kann.
Nach Abschicken des Formulars werden die Daten an eine andere Seite übergeben, die sie auswertet und z.b. eine Mail verschickt.

Hierbei gäbe es doch die Möglichkeit, dass ein "böser" Besucher z.B. Code in das Formular eintippt, der dann wiederum auf der nächsten Seite ausgeführt wird.
Oder nicht?

**zzet** · 07.04.2003, 12:26

Ok, sorry.. war wohl etwas missverständlich formuliert von mir.
Mit sicherheitskritisch meinte ich nicht Kennwörter oder Ähnches, sondern eben z.B. absichtlich eingetippter bösartiger Code

**is_real** · 07.04.2003, 12:29

Auf alle Fälle überprüfen der ankommenden Daten ob auch wirklich der Datentyp eingegeben wurde den man sich erwartet oder ob der String auch in dieser "Forum" ist die man sich erwartet.

Ich starte eine Session auf der "Forumularseite" und frage dann beim verarbeitenden Script immer zuerst ab ob überhaupt eine Session vorhanden ist und ob die übergebene ID auch stimmt.

Würd mich aber auch interessieren wie es andere BESSER machen. Oder was ihr von dieser Methode haltet

**zzet** · 07.04.2003, 12:33

ich arbeite schon auch nach dem Grundsatz "Never trust incoming data" - d.h. ich überprüfe vor der Weiterverarbeitung natürlich auch zuerst die übergebenen Daten.
Aber ich bin trotzdem für jede weitere Anregung wie z.B. is_real's Session-Lösung dankbar..

**MelloPie** · 07.04.2003, 12:43

wie goth sagte never trust incoming data,

da gibts schöne Beispiele mit eval funktionen oder sql statements, die auch mal Tabellen leeren oder passwörter ausgeben oder so...

zB:

$sql = "SELECT ".$_GET['column']." FROM ".$_GET['tbl']." where ID=".$_GET['ID'];

is nur ein Beispiel, is klar aber ersichtlich wird sicher was gemeint ist, wenn ich in $_GET['column'] sowas eintrage: password,user_name
in $_GET['tbl'] : user
und in ID: 1 or ID in (0,2,3,4,5,6,76,8,9,)

oder
eval($_GET['shit']); ist auch nett

**zzet** · 07.04.2003, 12:51

genau so etwas habe ich gemeint.
Aber dem kann man doch vorbeugen, indem man eben die Eingaben überprüft. Oder reicht das nicht?
Wie genau machst Du das?

**MelloPie** · 07.04.2003, 13:07

1.) Ich mache keine solchen shit statements wo alles ganz toll variabel ist und jeder alles eintragen kann.
2.) ich verwende eval nicht in Verbindung mit $_POST, $_GET, etc.
3.) Wenn ich Zahlen erwarte dann nehme ich nur Zahlen an
4.) ich verschlüssele Passworte mit MD5 in einer DB

etc. pp.

**is_real** · 07.04.2003, 13:32

Original geschrieben von MelloPie
.
.
.
4.) ich verschlüssele Passworte mit MD5 in einer DB

etc. pp.

ich nehme dafür crypt

PHP-Code:


$username = "Gast";

$passwort = "geheim";



$salt = substr($username, 0, 2);

$cryptedpw = crypt($passwort, $salt);

Formular sicher machen