Hallo,
ich benutze seit kurzem einen Schutz um mir Serverangriffe und SQL Injectionen vom leib zu halten, was habt ihr in der Richtung für Erfahrungen, ist bei euch schoneinmal ein Schaden durch ein Angriff entstanden?
Bei bedarf sende ich euch den Schutz gerne zu gegen POST, GET und INCLUDE Angriffen.
gruß
Korporal
Server + DB Sicherheit
gepostet vor 18 Jahre von Korporal
gepostet vor 18 Jahre von Störti
Der in meinen Augen sicherste Schutz ist, so wenig POST/GET-VARS wie möglich direkt an die DB zu senden, bei Auswahllisten (z.B. beim Gebäudebau die GebäudeID nicht direkt weitergeben, lieber per switch-case arbeiten, wenn es ein String ist. Alles, was eine Zahl sein soll auch immer in einen Integer casten (per (int) oder intval() ), dann können keine Kommandos übertragen werden. Bei Zeichenketten wie im Nachrichtensystem unvermeidlich immer die Quotes escapen.
Ich hoffe, ich hab nichts vergessen, aber das sollte wirken...
Ich hoffe, ich hab nichts vergessen, aber das sollte wirken...
gepostet vor 18 Jahre von exe
Ich habe mir für PHP Scripts geschaffen die Zugriff auf GET/POST nur durch einen typisierten Wrapper zulassen. D.h. wenn eine GET-Variable abgefragt wird sieht das etwa so aus:
Damit werden Ints/Strings/Arrays schon in den richtigen Typen verwendet. Für SQL-Statements verwende ich prepared Statements, was SQL-Injections schon grundsätzlich ausschaltet da SQL und Parameter seperat übertragen werden.
$this->in->getInt("variable");Damit werden Ints/Strings/Arrays schon in den richtigen Typen verwendet. Für SQL-Statements verwende ich prepared Statements, was SQL-Injections schon grundsätzlich ausschaltet da SQL und Parameter seperat übertragen werden.
gepostet vor 18 Jahre von TheUndeadable
Nutze PDO, dann bist du auf einer sehr sicheren Seite, da sich PDO um die richtige Konvertierung kümmern.
de.php.net/PDO
de.php.net/PDO