Seite 1 von 1
CGI-Scripte und Sicherheit
Verfasst: Dienstag 2. September 2003, 22:37
von Moppedboy
Hallo zusammen!
Worauf sollte man denn achten, damit beim CGI-basteln keine Sicherheitsprobleme entstehen? Kennt jemand vielleicht eine Checkliste oder ein How-to?
Danke schonmal!
Gruß Lars
Verfasst: Mittwoch 3. September 2003, 21:00
von piddon
Hmm, nunja, mir fällt momentan nur ein wichtiger Punkt ein, und das ist das konsequente Prüfen ALLER Eingaben der Nutzer in Formularen.
z.B. sollte man bei dem zusammensetzen von SQL-Abfragen darauf achten, dass sog. SQL-Injections nicht möglich sind.
Generell sollten alle SQL-Query nicht mit den Formularfeldernamen zusamengesetzt werden, sondern nur mit geprüften Variblen.
Ansonsten kommt es immer darauf an was du machen willst. User-Authentifikationen sollten auf jeder einzelnen Seite geschehen, damit man nicht mit einem "Quereinstieg" auf die geschützen Seiten kommen usw.
Verfasst: Donnerstag 4. September 2003, 01:37
von Gast
Wie ist es denn mit den Variablen? Könnte jemand mit
Code: Alles auswählen
http://adresse.cgi?zehnKilometerlangerganzböserdickerfetterStringderjedenPufferdieser WeltzumÜberlaufbringt
Schaden anrichten? Und wenn ja, wie lässt sich das vermeiden?
Gruß Lars
Verfasst: Donnerstag 4. September 2003, 15:22
von piddon
Soweit ich weiss, ist die Länge des Strings die mittels GET übergeben werden können auf 255 Zeichen beschränkt.
Daher sollte da nichts passieren. Aber man muss seine Variablen sowieso prüfen bevor man diese weiterverarbeitet, somit macht dieses Szenario kein Sinn.