Hallo zusammen!
Worauf sollte man denn achten, damit beim CGI-basteln keine Sicherheitsprobleme entstehen? Kennt jemand vielleicht eine Checkliste oder ein How-to?
Danke schonmal!
Gruß Lars
CGI-Scripte und Sicherheit
-
- Gründer
- Beiträge: 410
- Registriert: Dienstag 30. Juli 2002, 18:03
- Wohnort: Oestrich-Winkel
- Kontaktdaten:
Hmm, nunja, mir fällt momentan nur ein wichtiger Punkt ein, und das ist das konsequente Prüfen ALLER Eingaben der Nutzer in Formularen.
z.B. sollte man bei dem zusammensetzen von SQL-Abfragen darauf achten, dass sog. SQL-Injections nicht möglich sind.
Generell sollten alle SQL-Query nicht mit den Formularfeldernamen zusamengesetzt werden, sondern nur mit geprüften Variblen.
Ansonsten kommt es immer darauf an was du machen willst. User-Authentifikationen sollten auf jeder einzelnen Seite geschehen, damit man nicht mit einem "Quereinstieg" auf die geschützen Seiten kommen usw.
z.B. sollte man bei dem zusammensetzen von SQL-Abfragen darauf achten, dass sog. SQL-Injections nicht möglich sind.
Generell sollten alle SQL-Query nicht mit den Formularfeldernamen zusamengesetzt werden, sondern nur mit geprüften Variblen.
Ansonsten kommt es immer darauf an was du machen willst. User-Authentifikationen sollten auf jeder einzelnen Seite geschehen, damit man nicht mit einem "Quereinstieg" auf die geschützen Seiten kommen usw.
irc: #python.de @ irc.freenode.net | [url=http://pythonwiki.pocoo.org]python-wiki[/url] | [url=http://www.pythonwiki.de/PythonDeForum/Faq]python-forum FAQ[/url]
Wie ist es denn mit den Variablen? Könnte jemand mit
Schaden anrichten? Und wenn ja, wie lässt sich das vermeiden?
Gruß Lars
Code: Alles auswählen
http://adresse.cgi?zehnKilometerlangerganzböserdickerfetterStringderjedenPufferdieser WeltzumÜberlaufbringt
Gruß Lars
-
- Gründer
- Beiträge: 410
- Registriert: Dienstag 30. Juli 2002, 18:03
- Wohnort: Oestrich-Winkel
- Kontaktdaten:
Soweit ich weiss, ist die Länge des Strings die mittels GET übergeben werden können auf 255 Zeichen beschränkt.
Daher sollte da nichts passieren. Aber man muss seine Variablen sowieso prüfen bevor man diese weiterverarbeitet, somit macht dieses Szenario kein Sinn.
Daher sollte da nichts passieren. Aber man muss seine Variablen sowieso prüfen bevor man diese weiterverarbeitet, somit macht dieses Szenario kein Sinn.
irc: #python.de @ irc.freenode.net | [url=http://pythonwiki.pocoo.org]python-wiki[/url] | [url=http://www.pythonwiki.de/PythonDeForum/Faq]python-forum FAQ[/url]