Frage zu Sicherheit

Einklappen
X
 
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

  • Frage zu Sicherheit

    Hallo!

    Bin immer noch dabei, mein "Gästebuch" zu basteln. Die php-Seite, in der die Formulardaten ausgewertet werden und die Einträge in die MySQL-Tabelle vorgenommen werden, wollte ich so sicher wie möglich machen. Neben solchen Sachen wie mysql_real_escape_string() hatte ich noch folgende Idee um Cross-Scripting (nennt man das so?) zu verhindern:

    PHP-Code:

    $url
    =parse_url($_SERVER['HTTP_REFERER']);

    if(
    $url["path"] != "http://www.meineseite.de/gb/formular.php")
    {die (
    "Ein Direktzugriff auf diese Seite ist nicht möglich!");} 
    Wie sicher ist sowas um zu gewährleisten dass der Aufruf der Auswertungs-Datei nur über die Eintragsformular-Seite erfolgen kann? Und macht das an sich überhaupt Sinn?

    vielen Dank für eure Antworten,

    der Dilettant

  • #2
    hat keinen sinn und keine wirksamkeit.
    hat wenig mit cross site scripting (xss) zu tun.

    wenn direktzugriff verhindern, dann versuche es mit einer session.

    Kommentar


    • #3
      ich schliesse mich an

      Session ist immer gut, vorallem wen diese noch in der DB gespeichert wird.
      Bei Risiken und Nebenwirkungen fragen Sie Dr.Alban

      Kommentar


      • #4
        Original geschrieben von Arni
        Session ist immer gut, vorallem wen diese noch in der DB gespeichert wird.
        OffTopic:
        diese art von unbedarftem "doppelt hält besser"-unfug kann ich langsam auch nicht mehr hören ...
        I don't believe in rebirth. Actually, I never did in my whole lives.

        Kommentar


        • #5
          Original geschrieben von Arni
          ich schliesse mich an

          Session ist immer gut, vorallem wen diese noch in der DB gespeichert wird.
          Ne, ist nicht immer das beste, weil vermutlich nicht so performant.

          @topicstarter: Du solltest einfach checken ob die Eingaben legal sind bzw. der Besucher Zugriff auf die Seite hat (wenn es Situationen gibt in denen er keinen hat).
          Das ist aber ansich kein XSS. Schau mal hier: http://www.heise.de/security/artikel/38658/0
          Zuletzt geändert von Shurakai; 15.06.2005, 18:08.
          Für alle die Fehler suchen, gibts gratis tolle Debuggingmöglichkeiten:
          var_dump(), print_r(), debug_backtrace und echo.
          Außerdem gibt es für unsere Neueinsteiger ein hervorragendes PHP Tutorial zu PHP 4 und PHP 5 (OOP)
          Es heißt $array['index'] und nicht $array[index]! Und nein, das ist nicht egal!
          Dieses Thema lesen, um Ärger im Forum und verzögerte Hilfen zu vermeiden.

          Kommentar


          • #6
            if($url["path"] != "http://www.meineseite.de/gb/formular.php")
            Das dürfte überhaupt nicht helfen, denn wer oder was hindert mich daran
            mir ein Form zu basteln und die Daten mit einem gefälschten Referer an dein Script zu senden ?
            Ich schliesse mich allen Vorpostern an und denke auch das die
            praktikabelste Lösung die Verwendung von Sessions sein dürfte. Allerdings
            muss die Session, wenn keine Cookies aktzeptiert werden, an den Client
            übermittelt werden --> könnte also ersnifft werden.

            Gruss

            tobi
            Gutes Tutorial | PHP Manual | MySql Manual | PHP FAQ | Apache | Suchfunktion für eigene Seiten

            [color=red]"An error does not become truth by reason of multiplied propagation, nor does truth become error because nobody sees it."[/color]
            Mohandas Karamchand Gandhi (Mahatma Gandhi) (Source)

            Kommentar


            • #7
              Original geschrieben von jahlives
              Allerdings muss die Session, wenn keine Cookies aktzeptiert werden, an den Client übermittelt werden --> könnte also ersnifft werden.
              das könnte der keks genauso ...
              I don't believe in rebirth. Actually, I never did in my whole lives.

              Kommentar


              • #8
                <exaggerate>...drum nehme man ssl...</exaggerate>

                soll's online-banking werden, oder doch nur ein gästebuch?

                Kommentar

                Lädt...
                X