1.4.2 Die Include-Methode
Die andere Methode geht im Prinzip genau andersherum vor: Hier wird ein zentrales Sicherheitsmodul angelegt, daß von jedem PHP Skript am Anfang eingebunden wird.
"1.4.2 Die Include-Methode" weiterlesen...
1.4.3 Beispiele zur Validierung von Daten
Bei der Validierung von Eingabedaten ist es wichtig, einen Whitelist-Ansatz zu wählen und nur erlaubte Werte zuzulassen. Es ist sicherlich nicht möglich, für jede mögliche Variante ein passendes Beispiel zu liefern, im folgenden sollen aber einige Snippets Möglichkeiten zur Validierung aufzeigen.
"1.4.3 Beispiele zur Validierung von Daten" weiterlesen...
1.4.4 Konventionen zur Namensgebung
Die vorangegangenen Beispiele nutzen jeweils ein Array $clean und illustrieren damit eine gute Möglichkeit für Entwicklern, festzustellen welche Daten potentiell sicher bzw. unsicher sind.
"1.4.4 Konventionen zur Namensgebung" weiterlesen...
1.4.5 Timing
Ein PHP-Skript wird erst abgearbeitet wenn der gesamte HTTP-Request empfangen wurde. Dies bedeutet, daß der Benutzer (bzw. potentielle Angreifer) dann - selbst in register_globals=on Umgebungen - keine Möglichkeit mehr hat, Daten zu übertragen. Deshalb sollten Variablen grundsätzlich innerhalb des Codes initialisiert werden.
1.5 PHP Error-Reporting
In den PHP-Versionen 3 und 4 war das Error-Reporting sehr simpel aufgebaut, in PHP 5 wurde darüberhinaus ein Execption Handling integriert.
"1.5 PHP Error-Reporting" weiterlesen...
zurück vor
