Sicherheit in PHP Scripten

[duderino]

Hallo habe gerade ein nettes Tool gefunden dass offene Sicherheitslücken in einer PHP-Installation erkennt. Gerade für Anfänger könnte das Tool sehr empfehlenswert sein.

http://phpsec.org/projects/phpsecinfo/

Weitere Infos:

PHPSecInfo ist ein Tool, das einen schnellen Überblick über die sicherheitsrelevanten Einstellungen einer PHP-Installation verschaffen soll. PHPSecInfo ist analog zur PHP-internen Funktion phpinfo() ein einfaches Skript, dessen Aufruf eine nach phpinfo-Vorbild gestaltete Seite produziert, die einen Überblick über momentan 16 sicherheitsrelevante Einstellungen in der php.ini erlaubt. Je nach Einstellung einzelner Optionen wie "allow_url_fopen" werden Hinweise gegeben, warum die aktuellen Einstellungen unter Umständen ein Sicherheitsrisiko sein könnten.

Außerdem hier noch ein Link zu einem guten Tutorial das sich auch mit Sicherheit in PHP Scripten beschäftigt. http://forum.developers-guide.net/showthread.php?t=688

Grüße

 

[.holger]

Danke danke,

wenn ich mir das Tutorial so angucke, dann bin ich etwas stolz auf mich - klar 100%ig sind meine Scripts auch nicht, aber einiges hab ich schon ähnlich wie im Tut. gelöst.

 

[Wombat]

Ein guter Tipp. Vielen Dank für die Links!

Viele Grüsse,
Wombat

 

[duderino]

Wenn man sich schon ein bisschen länger mit PHP beschäftigt sind viele "Sicherheitslücken" einfach zu schließen. Aber für die Anfänger sind manche Dinge wie z.B. das Problem mit Sessions oder die Übergabe von Variablen über die URL nicht auf den ersten Blick ersichtlich.

Dabei sollte die Sicherheit von Scripten oberste Priotität haben. Ich mein was nützt ein CMS wenn man es mit simplen Methoden aushebeln kann...?

 

[Nogger]

Noch was zum Lesen: http://www.owasp.org/index.php/Category:OWASP_Guide_Project

 

[b0rsten]

auch sehr zu empfehlen: http://forum.developers-guide.net/showthread.php?t=670