folgendes kann missbraucht werden: formulare unverschlüsselte login-informationen ungeschützte includes SQL-injection reto ambühler
formulare können missbraucht werden, wenn sie öffentlich zugänglich sind sie die eingabe von freiem text erlauben sie die eingabe einer freien -adresse erlauben das zugehörige script den text an die -adresse sendet das formular kann zum versenden von SPAM missbraucht werden ! reto ambühler
verhindern des missbrauchs von formularen: keine oder nur standard nachricht an freie -adresse zugang zum formular z.b. mit CAPTCHA beschränken anmeldung mit username/passwort vorschalten naheliegend: NETZH-login verwenden. ja, aber reto ambühler
schützen der NETHZ-login daten: daten nicht im klartext übertragen ! benutzen sie SSL / https ! falls die website im WCMS oder im traditionellen webhosting publiziert wird können wir ein zertifikat installieren reto ambühler
missbrauch von programmgesteuerten sites: aufruf der nächsten seite oder eines frames via script beispiel: include $seite; ermöglicht missbrauch wie: reto ambühler
verhindern des missbrauchs von programm- gesteuerten sites: prüfen des parameters, so dass nur lokale dateien akzeptiert werden beispiel: filter mittels einer regular expression $pattern = /^http|^https|^url|^ftp|:|www/; if(preg_match($pattern,$seite)) $seite=index.htm; include $seite reto ambühler
SQL-injection: der datenbank-server wird dazu gebracht, eine willkürliche anweisung auszuführen beispiel: reto ambühler
SQL-injection (beispiel): reto ambühler
verhindern von SQL-injection: prüfen der parameter, so dass keine ungewollten aktionen ausgeführt werden können beispiel: funktion mysql_real_escape_string in PHP : $abfrage = "SELECT spalte1 FROM tabelle WHERE spalte2 = '". $_POST['spalte2Wert']."'"; reto ambühler $abfrage = "SELECT spalte1 FROM tabelle WHERE spalte2 = '". mysql_real_escape_string($_POST['spalte2Wert'])."'";
verhindern von SQL-injection (fortsetzung) : lesen sie die dokumentation zur verwendeten programmiersprache und datenbank reto ambühler
bemerkungen ? fragen ? anregungen ? reto ambühler