[GastForen Programmierung/Entwicklung PHP und MySQL Sicherheit mit GET

  • Suche
  • Hilfe
  • Lesezeichen
  • Benutzerliste
Themen
Beiträge
Moderatoren
Letzter Beitrag

Sicherheit mit GET

Kusi
Beiträge gesamt: 1398

16. Jan 2005, 17:17
Beitrag # 1 von 5
Bewertung:
(970 mal gelesen)
URL zum Beitrag
Beitrag als Lesezeichen
Hallo
Ich habe nun schon verschiedene Hinweise gelesen, das eine Übertragung von Variablen mit Get auch ein Sicherheitsrisiko darstellen kann. Leider habe ich nichts gefunden, das mir zu diesem Thema Inputs bietet. Kann jemand von euch mal ein kurzes Statement dazu geben?

Gruss
Kusi

http://www.k-k.ch
Grafik, Layout, Webdesign
X

Sicherheit mit GET

oesi50
  
Beiträge gesamt: 2315

16. Jan 2005, 17:41
Beitrag # 2 von 5
Beitrag ID: #136717
Bewertung:
(970 mal gelesen)
URL zum Beitrag
Beitrag als Lesezeichen
hi Kusi,

GET und POST beinhalten erst einmal das selbe Sicherheitsrisiko, nämlich die Möglichkeit, Daten an ein Programm/Script zu übergeben. Hier ist der Programmierer gefordert, die Daten auf Plausibilität und Zulässigkeit zu überprüfen. Das kannst Du überall nachlesen und dürfte hinreichen bekannt sein(z.B. letzte Meldungen über PHPBB, Coppermine, Mambo, TWiki usw. und auch Ebay und Google/Gmail).

Was Du wahrscheinlich gelesen oder gehört hast, ist das Problem, dass die mit GET übergebenen Daten in allen möglichen Logfiles erscheinen.

Was passiert jetzt, wenn solche Logfiles öffentlich zugänglich sind-

Bsp:
http://www.google.de/...i&as_sitesearch=

man kann wunderbar die Programmparameter lesen und auch analysieren.

Es wird aber noch besser, diese Informationen erscheinen auch noch im Referer, d.h. alle deine externen Links bekommen dies Informationen frei Haus geliefert.

Jetzt könnte z.b. einer davon eine öffentliche Statistiki anbieten, und schwupps schon sind wir wieder in den Suchmaschinen.

Und es wird noch besser. Es gibt einige Browser(öhm, na ja IExploder oder so) die senden sogar einen Referer, wenn keiner gesendet werden soll. Wenn da z.B. http://www.k-k.ch im Browser angezeigt wird und du tippst oben in der Adresszeile http://www.example.com ein, dann hat http://www.example.com den letzten Aufruf von www-k-k.ch als Referer im Logfile.

Ich glaube, das reicht an Information, mit etwas Phantasie könnte ich mir aber auch noch andere Szenarien ausdenken.

Fazit:

Immer im Hinterkopf behalten, alle GET Parameter können in Suchmaschinen auftauchen(sie sind also genau so öffentlich wie Deine URLs).


Grüße Oesi
Ich weiß, dass ich nichts weiß... (Sokrates)

[edit]
Was mir gerade noch eingefallen ist:
Es gibt auch noch Proxy-Logs von denen Du nicht einmal etwas bemerkst.


als Antwort auf: [#136710]
(Dieser Beitrag wurde von oesi50 am 16. Jan 2005, 17:46 geändert)

Sicherheit mit GET

ganesh
Beiträge gesamt: 1981

16. Jan 2005, 19:54
Beitrag # 3 von 5
Beitrag ID: #136737
Bewertung:
(970 mal gelesen)
URL zum Beitrag
Beitrag als Lesezeichen
Sobald Du serverseitige Skripts und Datenbanken benutzt, musst Du JEDEM User-Input generell misstrauen. Parameter, die (wie auch immer: GET, POST, Cookies) ein Skript abrufen, müssen immer geprüft werden. Google mal nach "SQL injection".

http://www.unixwiz.net/...s/sql-injection.html
http://www.securiteam.com/...iews/5DP0N1P76E.html


als Antwort auf: [#136710]

Sicherheit mit GET

Kusi
Beiträge gesamt: 1398

16. Jan 2005, 23:37
Beitrag # 4 von 5
Beitrag ID: #136755
Bewertung:
(970 mal gelesen)
URL zum Beitrag
Beitrag als Lesezeichen
Hallo
Und danke für eure Inputs. Ich finds erstaunlich, dass das so einfach möglich ist.

Gruss
Kusi

http://www.k-k.ch
Grafik, Layout, Webdesign


als Antwort auf: [#136710]

Sicherheit mit GET

Kusi
Beiträge gesamt: 1398

17. Jan 2005, 21:23
Beitrag # 5 von 5
Beitrag ID: #137029
Bewertung:
(970 mal gelesen)
URL zum Beitrag
Beitrag als Lesezeichen
Hallo
Ich bin nun auf mysql_escape_string() und mysql_real_escape_string() gekommen. Reicht das wirklich schon aus? und welche Variante würde ihr den wählen?

Gruss
Kusi

http://www.k-k.ch
Grafik, Layout, Webdesign


als Antwort auf: [#136710]
X

Veranstaltungskalender

Hier können Sie Ihre Anlässe eintragen, welche einen Zusammenhang mit den Angeboten von HilfDirSelbst.ch wie z.B. Adobe InDesign, Photoshop, Illustrator, PDF, Pitstop, Affinity, Marketing, SEO, Büro- und Rechtsthemen etc. haben. Die Einträge werden moderiert freigeschaltet. Dies wird werktags üblicherweise innert 24 Stunden erfolgen.

pdf-icon Hier eine kleine Anleitung hinsichtlich Bedeutung der auszufüllenden Formularfelder.

Veranstaltungen
05.02.2021 - 05.11.2021

Digicomp Academy AG, Limmatstrasse 50, 8005 Zürich
Freitag, 05. Feb. 2021, 13.00 Uhr - Freitag, 05. Nov. 2021, 17.00 Uhr

Lehrgang

Bilden Sie sich zum zertifizierten Publishing-Multimedia-Profi aus. Neben Fotografie und Video befassen Sie sich mit der Medienproduktion, digitalen Publikationen und dem Webdesign für Desktop- und mobile Endgeräte.

Preis: CHF 10'500.-
Dauer: 30 Tage (ca. 210 Lektionen) – Unterricht findet jeweils am Freitag von 13 - 19 Uhr und Samstag von 09 - 17 Uhr statt

Ja

Organisator: Digicomp Academy AG

Kontaktinformation: Kundenberater-Team, E-Mailkundenberatung AT digicomp DOT ch

digicomp.ch/d/9PM

Veranstaltungen
12.03.2021 - 16.07.2021

Digicomp Academy AG, Zürich oder virtuell
Freitag, 12. März 2021, 13.00 Uhr - Freitag, 16. Juli 2021, 17.00 Uhr

Lehrgang

Steigen Sie in die Welt des Publishings ein und erlangen Sie die Zertifizierung von publishingNETWORK. Lernen Sie in diesem Lehrgang Druckmedien professionell zu erarbeiten, druckfertige PDFs zu erstellen und CI/CD-Vorgaben umzusetzen.

Preis: CHF 6'300.-
Dauer: 18 Tage (ca. 126 Lektionen) – Unterricht findet jeweils am Freitag von 13 - 19 Uhr und Samstag von 09 - 17 Uhr statt.

Ja

Organisator: Digicomp Academy AG

Kontaktinformation: Kundenberater-Team, E-Mailkundenberatung AT digicomp DOT ch

digicomp.ch/d/9PBAS