An alle Modulentwickler...!

Fragen zur Installation von CONTENIDO 4.9? Probleme bei der Konfiguration? Hinweise oder Fragen zur Entwicklung des Systemes oder zur Sicherheit?
Antworten
Darth-Vader
Beiträge: 661
Registriert: So 25. Jan 2004, 19:06
Wohnort: Stuttgart-Bad Cannstatt
Kontaktdaten:

An alle Modulentwickler...!

Beitrag von Darth-Vader » Sa 31. Jan 2004, 23:45

Ich hab mir jetzt schon mehrere Module angesehen und stelle immer wieder fest, dass diese zwar gut aussehen, gut funktionieren, etc. aber dennoch unsicher sind! Und deswegen musste ich bis jetzt jedes Modul, dass ich mir geholt hab umschreiben oder anpassen... 8)



Hier mal en Link, der sehr informativ sein dürfte:
http://www.heise.de/security/artikel/43175


nix für Ungut,
so long Darth. :twisted:

PickPay
Beiträge: 164
Registriert: Di 2. Dez 2003, 19:38
Wohnort: Zürich
Kontaktdaten:

Beitrag von PickPay » Mo 2. Feb 2004, 09:04

Ich verwende immer addslashes(); und ein paar preg_replace();-Muster, das funktioniert eigentlich gut!

Aber bei mir werden die Slashes sowieso von Serverseite bei allen Eingaben von aussen (POST, GET, COOKIE) gesetzt, so dass es eigentlich kein Problem sein sollte. Bei den meisten Providern ist das eigentlich aus dem Sicherheitsgrund auch so eingestellt (php.ini)!

timo
Beiträge: 6284
Registriert: Do 15. Mai 2003, 18:32
Wohnort: Da findet ihr mich nie!
Kontaktdaten:

Beitrag von timo » Mo 2. Feb 2004, 09:07

pickpay: sehe ich genauso.

Ryson
Beiträge: 22
Registriert: Sa 6. Mär 2004, 00:49
Wohnort: Erfurt
Kontaktdaten:

Beitrag von Ryson » Sa 6. Mär 2004, 00:51

string mysql_escape_string ( string unescaped_string)

Diese Funktion maskiert unescaped_string zur sicheren Benutzung in mysql_query().

Darth-Vader
Beiträge: 661
Registriert: So 25. Jan 2004, 19:06
Wohnort: Stuttgart-Bad Cannstatt
Kontaktdaten:

Beitrag von Darth-Vader » Sa 6. Mär 2004, 02:20

thx für den hinweis, :)

ich guck mir diese funktion bei gelegenheit mal näher an, wobei mir momentan immer noch "die Hand-zu-Fuß-Methode" lieber ist, weil ich da genau sehe, was mit dem String passiert, weil ich ihn ja selbst per regexp und / oder strreplace filtern tuhe... ;)

Antworten