PHP Sicherheit (SQL Injection, XSS, CSRF, ...)
 

Das Leben ist unfair.

1)
SQL Injection ist folgendes...

Hier mal ein Beispiel:

Du rufst auf::
[Link nur für registrierte und freigeschaltete Mitglieder sichtbar. Jetzt registrieren...]

SQL-Abfrage lautet::
SELECT author, subject, text FROM artikel WHERE ID=42


Und wenn du eine SQL-Injunktion machst, sieht es so aus (Beispiel):

Du rufst auf::
http://webserver/cgi-bin/find.cgi?ID=42;UPDATE+USER+SET+TYPE="admin"+WHERE+ ID=23

SQL-Abfrage lautet::
SELECT author, subject, text FROM artikel WHERE ID=42; UPDATE USER SET TYPE="admin" WHERE ID=23

Das heißt, er führt die SELECT-Abfrage aus::
SELECT author, subject, text FROM artikel WHERE ID=42

Und setzt gleichzeitig den User mit der ID 23 auf Administratorrechten::
UPDATE USER SET TYPE="admin" WHERE ID=23

Und wenn man soetwas dranhängen kann, also sich zB leicht zum Administrator machen kann, redet man von SQL-Injection.

2)
CRSF heißt Cross-Site S*****ing

Mhhm wie soll ich es erklären. Wenn du einen User ein Eingabefeld zur Verfügung stellst und dieses später ausgibst (vllt. im Profil) kann der User einen JavaS*****-Befehl dranhängen, hier mal ein Beispiel::

<s*****>alert('CRSF funktioniert!')</s*****>

Wenn das ein User im Eingabefeld eingibt und das Profil besucht und eine Warnung kommt wo CRSF funktioniert drinn steht, kann er Cross-Site S*****en. Sollte aber einfach nur <s*****>alert('CRSF funktioniert!')</s*****> ausgegeben werden (also als Text) bist du gegen Cross-Site S*****ing geschützt (so wie hier auf Gully, hier wird auch NUR der Text ausgegeben).

---

Ich hoffe ich habe es dir gut erklärt.

---

Habe auch eine Community kannst ja mal guckn, habe ich selber gemacht::

URL nur per PM

ist aber noch nicht ganz fertig..!!..

csrf ist nicht cross-site s*****ing vergleiche wikipedia [Link nur für registrierte und freigeschaltete Mitglieder sichtbar. Jetzt registrieren...] und [Link nur für registrierte und freigeschaltete Mitglieder sichtbar. Jetzt registrieren...]

Ja entschuldigung,

habe ich wohl verwechselt.

Somit hat er aber auch eine Beschreibung für XXS

Ach ja::

Zu den Sachen mit Sorgen machen::

3) Das nächste, was mich etwas irritiert:
- er wollte die Zugangsdaten zum Control Panel (also, dort wo ich z.B. Email Accounts erstellen kann, FTP Benutzer, etc.). Sein Grund: Er wollte den PHP Parameter deaktivieren, der Informationen anzeigt, wenn es Errors gibt.
= Deine Entscheidung! Somit kann er deinen Server einstellen wie er will und sich Hintereingäng usw. bauen.

= Normalerweise in den Apache-Module, diese haben aber je nach Anbieter einen anderen Namen (bei mir :: Server-Einstellungen)
Dann ich dir sagen kann, wo du es ganauer machen kannst, wär interessant, bei welchen Anbieter du bist und welchen PHP Parameter er genau deaktivieren/aktivieren möchte.

= Hier würde ich mir sorgen machen. Um das Senden einer Mail aus einem php-Dokument braucht er normalerweise keine Zugangsdaten zum E-Mailaccount.
Das einzigste, was vielleicht ein bisschen in Frage kommt ist, dass er die E-Mailadresse für den header braucht. Aber da muss er (normalerweise) auch nur die E-Mailadresse angeben, ohne Zugangsdaten.

[Link nur für registrierte und freigeschaltete Mitglieder sichtbar. Jetzt registrieren...]
Da was zum thema cross site s*****ing

Das Leben ist unfair.

Ja, meins sieht ganauso aus, nur nennt sich CONFIX!°!

Aber die Server-Einstellungen meine ich andere.