CONTENIDO Forum

Zur Zeit gewinnt die Datenbank-Manipulation durch mySQL-Injections mehr und mehr an Popularität und wird zu einer Art Volkssport. Ist Contenido dahingehend abgesichert? Habe mir die Syntax der mySQL-Queries noch nicht angeschaut und brauche schnell die Info. Sitze gerade nicht vor einem "brauchbaren" Rechner wo ich es installieren könnte, kann´s mir also auch gerade nicht anschauen.

Wäre super wenn jmd. was dazu sagen könnte.


Thx,
Dominik

Zu sagen, daß ein Produkt sicher ist, wäre so, als ob man sagt, daß ein Flugzeug absturzsicher ist

Je weiter Contenido auf die GenericDB ausgebaut wird, desto weniger SQL-Injections sind generell möglich, aber derzeit kann es schon sein, daß hier und da Möglichkeiten offen sind.

vor allem ist der administrator in der situation dahingehend was zu tun oder eben tore zu öffnen für injections.

contenido ist so sicher, wie du es als admin installierst. du musst einfach darauf acht geben, das module die du verwendest oder die du selber schreibst auf allfällige injections prüfst.

die wohl sicherste variante ist, dass du generell das semikolon in feldern, die von besuchern ausgefüllt werden, nicht zulässt (also einfach mit php entfernen, falls welche da sind).

kummer hat geschrieben:die wohl sicherste variante ist, dass du generell das semikolon in feldern, die von besuchern ausgefüllt werden, nicht zulässt (also einfach mit php entfernen, falls welche da sind).

einfachere Methode:bei Modulen, die eigene Datenbanktabellen verwenden, die GenericDB benutzen (kümmert sich automatisch darum, daß SQL-Injections vermieden werden).

steht die GenericDB in contenido 4.4.4 bereits zur verfügung? oder muss man da selber um die einbindung besorgt sein?

ja, ich glaube schon (class.genericdb.php).

Danke für die Infos. Muss das System bei einem Großkunden installieren und da es um große Beträge und eine aufwendige Firmenseite mit vielen Features geht, muss ich auf Nummer sicher gehen.


So long,
Dominik