Deutscher PHP Security Guide

Jens Ferner von phpreferenz.de hat vor einiger Zeit die deutsche Übersetzung des PHP Security Guide als kostenfreien Download angeboten, zwischenzeitlich ist die Seite aus privaten Gründen allerdings vom Netz genommen.

Die folgenden Grundregeln für sicheren Code werden auf rund 40 Seiten ausführlich und mit Beispielen abgehandelt:

  1. REQUEST-Variablen sind bei register_globals=on auch "normale" Variablen
  2. In ein include() gehören keine REQUEST-Variablen
  3. In eine Ausgabe gehören keine REQUEST-Variablen
  4. Wenn eine Ausgabe von REQUEST-Variablen nötig ist, an htmlspecialchars() denken
  5. Sessions zum Transport von Daten sind besser als REQUEST-Variablen
  6. Wenn Variablen nur einmal definiert werden sollen (etwa Konfigurationsdaten, besonders Pfade für include()), sind Konstanten besser
  7. Daten sind spezifisch zu nutzen - die Unterschiede zwischen POST und GET sollten genutzt werden, nicht immer nur blind REQUEST
  8. REQUEST-Daten, die in einen Datenbankquery übernommen werden, müssen validiert werden
  9. REQUEST-Daten haben nichts in Dateioperationen (fopen() etc.) zu suchen
  10. Variablen in globalem Kontext immer initialisieren und prüfen
  11. Bei dezentralen Dateien immer den Direktzugriff prüfen
  12. Traue keinen Benutzereingaben

Netzwerke